如何實現(xiàn)ssl證書管理系統(tǒng)的有效監(jiān)控

發(fā)布時間：2024-02-18

2020年3月20日晚間，許多蘋果用戶看到系統(tǒng)不斷地彈窗無法驗證服務(wù)器身份，包括ios、ipados以及 macos系統(tǒng)全部如此。在彈窗中蘋果標(biāo)注不能驗證「appleimap.163.com」的身份，簡單來說就是這個域名的 https 證書無法被信任。至于不能被信任的原因非常簡單，網(wǎng)易郵箱忘記給服務(wù)器更換新證書，導(dǎo)致原證書到期后無法進(jìn)行驗證。下面就由小編來講一講如何實現(xiàn)ssl證書管理系統(tǒng)的有效監(jiān)控。
一、關(guān)于數(shù)字證書
其實像這類忘記續(xù)期和更換數(shù)據(jù)證書的錯誤，在很多企業(yè)里面都是可能會發(fā)生。因為企業(yè)內(nèi)部的應(yīng)用中，運維面向各式各樣的應(yīng)用系統(tǒng)，這類證書基本都是2年才更換一次。如果沒有很好的工具進(jìn)行檢測和通知，則經(jīng)常被遺忘在運維忙碌的技術(shù)支持工作中。
疑惑1：
很多人可能想問，為啥這類情況經(jīng)常會被忘記，為啥證書有效期不一次性設(shè)置100年呢？這樣，應(yīng)用系統(tǒng)可能都下線了，就不再需要考慮證書過期的事情了？
事實上，數(shù)字證書一般由第三方的法定數(shù)據(jù)認(rèn)證中心機構(gòu)簽發(fā)，以數(shù)據(jù)證書為核心的加密技術(shù)對網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名驗證，確保網(wǎng)上傳遞信息的機密性、完整性，從而保障網(wǎng)絡(luò)應(yīng)用的安全性。所以，在保障可用性的前提下，定期的更新保障安全才是解決問題的核心。
據(jù)了解，基于安全考慮，蘋果safari從2020年9月1日起就不再支持有效期超過398天的https加密證書。
最早提出縮短證書有效期，提高安全性的就是谷歌。由于市場占有率非常高，對整個行業(yè)有巨大影響，因此遲遲都未推出具體的政策時間，但是有效期限制也是板上釘釘?shù)摹?br>疑惑2：
也有人會表達(dá)困惑，既然這樣的場景經(jīng)常被遺忘，影響又比較大，這類數(shù)字證書可能會有哪些類型呢？從運維的角度，應(yīng)該如何管理好這類證書的事情呢？
關(guān)于數(shù)字證書，從使用對象的角度分，目前數(shù)字證書類型主要包括：個人身份證書、企業(yè)或機構(gòu)身份證書、支付網(wǎng)關(guān)證書、服務(wù)器證書、安全電子郵件證書、個人代碼簽名證書。
從數(shù)據(jù)證書的技術(shù)角度分，ca證書機構(gòu)頒發(fā)的證書分為兩類：ssl證書和set證書，一般ssl證書是服務(wù)于銀行對企業(yè)或企業(yè)對企業(yè)的電子商務(wù)活動，而set證書則服務(wù)于持卡消費、網(wǎng)上溝通。
基于以上網(wǎng)易郵箱的案例，提到的證書是屬于服務(wù)器證書或安全電子郵件證書，也是屬于ssl證書類型。
在企業(yè)運維中，更多關(guān)注的證書類型，是從應(yīng)用系統(tǒng)的角度出發(fā)，屬于ssl證書類型的服務(wù)器證書。如何對這些ssl服務(wù)器證書進(jìn)行有效的管理和監(jiān)控呢？以下給大家分享一個小小的工具，即可滿足實現(xiàn)ssl證書的管理和有效期監(jiān)控。
二、工具支持，有效管理
針對上述談到的ssl服務(wù)器證書，從運維角度實現(xiàn)有效管理和監(jiān)控的工具，主要有以下幾個核心功能：
1、自動發(fā)現(xiàn)服務(wù)器證書
基于業(yè)務(wù)系統(tǒng)和訪問地址，可以自動獲取該應(yīng)用服務(wù)器正在使用和依賴的ssl服務(wù)器證書，并獲取證書的頒發(fā)機構(gòu)、使用者名稱及有效期信息等。
2、告警設(shè)置
針對已添加業(yè)務(wù)系統(tǒng)證書列表，基于證書有效期的管理，設(shè)置告警策略，如在過期前30天，發(fā)送通知管理員。
3、證書報表
基于證書頒發(fā)機構(gòu)，定期更新和統(tǒng)計證書的信息和有效期，能夠給到管理員每年提前規(guī)劃證書的采購、續(xù)期計劃。
4、基于paas技術(shù)平臺，快速落地場景工具
當(dāng)然，ssl證書管理和有效期監(jiān)控，只是我們運維工作中一個很小的場景。
三、是否因為這樣一個不經(jīng)常被關(guān)注的微小場景而引入一個工具會導(dǎo)致成本會高昂呢？
是否為了支持各種類似的運維場景，都需要建設(shè)一套場景工具，導(dǎo)致工具太多、運維管理困難呢？針對以上這些問題，給分享一下我們的做法，也是我們很多客戶落地的做法，可以很好的解決上述問題。
1、api gateway：
內(nèi)置各種運維基礎(chǔ)的原子能力，如管控平臺、作業(yè)平臺、配置平臺、容器平臺、監(jiān)控平臺等，也可支持第三方api接入能力。
2、運維工具流水線：
提供基于vue和django的開發(fā)框架，運維人員可基于簡單python腳本語言和api的組裝，快速開發(fā)運維場景工具。
3、運行環(huán)境托管：
提供基于docker容器化的運行環(huán)境，支持場景工具的一鍵部署和運行，減少各類運維工具的運維管理工作。
基于paas技術(shù)架構(gòu)搭建一體化、自動化運維平臺，不僅能夠提供運維工具效率，更能低成本快速響應(yīng)運維場景建設(shè)，讓運維人員不再成為“背鍋俠”、“跑路狗”。小伙伴們要想獲得更多如何實現(xiàn)ssl證書管理系統(tǒng)的有效監(jiān)控的內(nèi)容，請關(guān)注我們！