如何實現ssl證書管理系統的有效監控

??2020年3月20日晚間，許多蘋果用戶看到系統不斷地彈窗無法驗證服務器身份，包括iOS、iPadOS以及 macOS系統全部如此。在彈窗中蘋果標注不能驗證「appleimap.163.com」的身份，簡單來說就是這個域名的 HTTPS 證書無法被信任。至于不能被信任的原因非常簡單，網易郵箱忘記給服務器更換新證書，導致原證書到期后無法進行驗證。下面就由新網小編來講一講如何實現ssl證書管理系統的有效監控。

??一、關于數字證書

??其實像這類忘記續期和更換數據證書的錯誤，在很多企業里面都是可能會發生。因為企業內部的應用中，運維面向各式各樣的應用系統，這類證書基本都是2年才更換一次。如果沒有很好的工具進行檢測和通知，則經常被遺忘在運維忙碌的技術支持工作中。

??疑惑1：

??很多人可能想問，為啥這類情況經常會被忘記，為啥證書有效期不一次性設置100年呢？這樣，應用系統可能都下線了，就不再需要考慮證書過期的事情了？

??事實上，數字證書一般由第三方的法定數據認證中心機構簽發，以數據證書為核心的加密技術對網絡上傳輸的信息進行加密和解密、數字簽名和簽名驗證，確保網上傳遞信息的機密性、完整性，從而保障網絡應用的安全性。所以，在保障可用性的前提下，定期的更新保障安全才是解決問題的核心。

??據了解，基于安全考慮，蘋果Safari從2020年9月1日起就不再支持有效期超過398天的HTTPS加密證書。

??最早提出縮短證書有效期，提高安全性的就是谷歌。由于市場占有率非常高，對整個行業有巨大影響，因此遲遲都未推出具體的政策時間，但是有效期限制也是板上釘釘的。

??疑惑2：

??也有人會表達困惑，既然這樣的場景經常被遺忘，影響又比較大，這類數字證書可能會有哪些類型呢？從運維的角度，應該如何管理好這類證書的事情呢？

??關于數字證書，從使用對象的角度分，目前數字證書類型主要包括：個人身份證書、企業或機構身份證書、支付網關證書、服務器證書、安全電子郵件證書、個人代碼簽名證書。

??從數據證書的技術角度分，CA證書機構頒發的證書分為兩類：SSL證書和SET證書，一般SSL證書是服務于銀行對企業或企業對企業的電子商務活動，而SET證書則服務于持卡消費、網上溝通。

??基于以上網易郵箱的案例，提到的證書是屬于服務器證書或安全電子郵件證書，也是屬于SSL證書類型。

??在企業運維中，更多關注的證書類型，是從應用系統的角度出發，屬于SSL證書類型的服務器證書。如何對這些SSL服務器證書進行有效的管理和監控呢？以下給大家分享一個小小的工具，即可滿足實現SSL證書的管理和有效期監控。

??二、工具支持，有效管理

??針對上述談到的SSL服務器證書，從運維角度實現有效管理和監控的工具，主要有以下幾個核心功能：

??1、自動發現服務器證書

??基于業務系統和訪問地址，可以自動獲取該應用服務器正在使用和依賴的SSL服務器證書，并獲取證書的頒發機構、使用者名稱及有效期信息等。

??2、告警設置

??針對已添加業務系統證書列表，基于證書有效期的管理，設置告警策略，如在過期前30天，發送通知管理員。

??3、證書報表

??基于證書頒發機構，定期更新和統計證書的信息和有效期，能夠給到管理員每年提前規劃證書的采購、續期計劃。

??4、基于PaaS技術平臺，快速落地場景工具

??當然，SSL證書管理和有效期監控，只是我們運維工作中一個很小的場景。

??三、是否因為這樣一個不經常被關注的微小場景而引入一個工具會導致成本會高昂呢？

??是否為了支持各種類似的運維場景，都需要建設一套場景工具，導致工具太多、運維管理困難呢？針對以上這些問題，給分享一下我們的做法，也是我們很多客戶落地的做法，可以很好的解決上述問題。

??1、API GateWay：

??內置各種運維基礎的原子能力，如管控平臺、作業平臺、配置平臺、容器平臺、監控平臺等，也可支持第三方API接入能力。

??2、運維工具流水線：

??提供基于VUE和Django的開發框架，運維人員可基于簡單Python腳本語言和API的組裝，快速開發運維場景工具。

??3、運行環境托管：

??提供基于Docker容器化的運行環境，支持場景工具的一鍵部署和運行，減少各類運維工具的運維管理工作。

??基于PaaS技術架構搭建一體化、自動化運維平臺，不僅能夠提供運維工具效率，更能低成本快速響應運維場景建設，讓運維人員不再成為“背鍋俠”、“跑路狗”。小伙伴們要想獲得更多如何實現ssl證書管理系統的有效監控的內容，請關注新網！