??2020年3月20日晚間，許多蘋(píng)果用戶看到系統(tǒng)不斷地彈窗無(wú)法驗(yàn)證服務(wù)器身份，包括iOS、iPadOS以及 macOS系統(tǒng)全部如此。在彈窗中蘋(píng)果標(biāo)注不能驗(yàn)證「appleimap.163.com」的身份，簡(jiǎn)單來(lái)說(shuō)就是這個(gè)域名的 HTTPS 證書(shū)無(wú)法被信任。至于不能被信任的原因非常簡(jiǎn)單，網(wǎng)易郵箱忘記給服務(wù)器更換新證書(shū)，導(dǎo)致原證書(shū)到期后無(wú)法進(jìn)行驗(yàn)證。下面就由新網(wǎng)小編來(lái)講一講如何實(shí)現(xiàn)ssl證書(shū)管理系統(tǒng)的有效監(jiān)控。

??一、關(guān)于數(shù)字證書(shū)

??其實(shí)像這類忘記續(xù)期和更換數(shù)據(jù)證書(shū)的錯(cuò)誤，在很多企業(yè)里面都是可能會(huì)發(fā)生。因?yàn)槠髽I(yè)內(nèi)部的應(yīng)用中，運(yùn)維面向各式各樣的應(yīng)用系統(tǒng)，這類證書(shū)基本都是2年才更換一次。如果沒(méi)有很好的工具進(jìn)行檢測(cè)和通知，則經(jīng)常被遺忘在運(yùn)維忙碌的技術(shù)支持工作中。

??疑惑1：

??很多人可能想問(wèn)，為啥這類情況經(jīng)常會(huì)被忘記，為啥證書(shū)有效期不一次性設(shè)置100年呢？這樣，應(yīng)用系統(tǒng)可能都下線了，就不再需要考慮證書(shū)過(guò)期的事情了？

??事實(shí)上，數(shù)字證書(shū)一般由第三方的法定數(shù)據(jù)認(rèn)證中心機(jī)構(gòu)簽發(fā)，以數(shù)據(jù)證書(shū)為核心的加密技術(shù)對(duì)網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名驗(yàn)證，確保網(wǎng)上傳遞信息的機(jī)密性、完整性，從而保障網(wǎng)絡(luò)應(yīng)用的安全性。所以，在保障可用性的前提下，定期的更新保障安全才是解決問(wèn)題的核心。

??據(jù)了解，基于安全考慮，蘋(píng)果Safari從2020年9月1日起就不再支持有效期超過(guò)398天的HTTPS加密證書(shū)。

??最早提出縮短證書(shū)有效期，提高安全性的就是谷歌。由于市場(chǎng)占有率非常高，對(duì)整個(gè)行業(yè)有巨大影響，因此遲遲都未推出具體的政策時(shí)間，但是有效期限制也是板上釘釘?shù)摹?br />
??疑惑2：

??也有人會(huì)表達(dá)困惑，既然這樣的場(chǎng)景經(jīng)常被遺忘，影響又比較大，這類數(shù)字證書(shū)可能會(huì)有哪些類型呢？從運(yùn)維的角度，應(yīng)該如何管理好這類證書(shū)的事情呢？

??關(guān)于數(shù)字證書(shū)，從使用對(duì)象的角度分，目前數(shù)字證書(shū)類型主要包括：個(gè)人身份證書(shū)、企業(yè)或機(jī)構(gòu)身份證書(shū)、支付網(wǎng)關(guān)證書(shū)、服務(wù)器證書(shū)、安全電子郵件證書(shū)、個(gè)人代碼簽名證書(shū)。

??從數(shù)據(jù)證書(shū)的技術(shù)角度分，CA證書(shū)機(jī)構(gòu)頒發(fā)的證書(shū)分為兩類：SSL證書(shū)和SET證書(shū)，一般SSL證書(shū)是服務(wù)于銀行對(duì)企業(yè)或企業(yè)對(duì)企業(yè)的電子商務(wù)活動(dòng)，而SET證書(shū)則服務(wù)于持卡消費(fèi)、網(wǎng)上溝通。

??基于以上網(wǎng)易郵箱的案例，提到的證書(shū)是屬于服務(wù)器證書(shū)或安全電子郵件證書(shū)，也是屬于SSL證書(shū)類型。

??在企業(yè)運(yùn)維中，更多關(guān)注的證書(shū)類型，是從應(yīng)用系統(tǒng)的角度出發(fā)，屬于SSL證書(shū)類型的服務(wù)器證書(shū)。如何對(duì)這些SSL服務(wù)器證書(shū)進(jìn)行有效的管理和監(jiān)控呢？以下給大家分享一個(gè)小小的工具，即可滿足實(shí)現(xiàn)SSL證書(shū)的管理和有效期監(jiān)控。

??二、工具支持，有效管理

??針對(duì)上述談到的SSL服務(wù)器證書(shū)，從運(yùn)維角度實(shí)現(xiàn)有效管理和監(jiān)控的工具，主要有以下幾個(gè)核心功能：

??1、自動(dòng)發(fā)現(xiàn)服務(wù)器證書(shū)

??基于業(yè)務(wù)系統(tǒng)和訪問(wèn)地址，可以自動(dòng)獲取該應(yīng)用服務(wù)器正在使用和依賴的SSL服務(wù)器證書(shū)，并獲取證書(shū)的頒發(fā)機(jī)構(gòu)、使用者名稱及有效期信息等。

??2、告警設(shè)置

??針對(duì)已添加業(yè)務(wù)系統(tǒng)證書(shū)列表，基于證書(shū)有效期的管理，設(shè)置告警策略，如在過(guò)期前30天，發(fā)送通知管理員。

??3、證書(shū)報(bào)表

??基于證書(shū)頒發(fā)機(jī)構(gòu)，定期更新和統(tǒng)計(jì)證書(shū)的信息和有效期，能夠給到管理員每年提前規(guī)劃證書(shū)的采購(gòu)、續(xù)期計(jì)劃。

??4、基于PaaS技術(shù)平臺(tái)，快速落地場(chǎng)景工具

??當(dāng)然，SSL證書(shū)管理和有效期監(jiān)控，只是我們運(yùn)維工作中一個(gè)很小的場(chǎng)景。

??三、是否因?yàn)檫@樣一個(gè)不經(jīng)常被關(guān)注的微小場(chǎng)景而引入一個(gè)工具會(huì)導(dǎo)致成本會(huì)高昂呢？

??是否為了支持各種類似的運(yùn)維場(chǎng)景，都需要建設(shè)一套場(chǎng)景工具，導(dǎo)致工具太多、運(yùn)維管理困難呢？針對(duì)以上這些問(wèn)題，給分享一下我們的做法，也是我們很多客戶落地的做法，可以很好的解決上述問(wèn)題。

??1、API GateWay：

??內(nèi)置各種運(yùn)維基礎(chǔ)的原子能力，如管控平臺(tái)、作業(yè)平臺(tái)、配置平臺(tái)、容器平臺(tái)、監(jiān)控平臺(tái)等，也可支持第三方API接入能力。

??2、運(yùn)維工具流水線：

??提供基于VUE和Django的開(kāi)發(fā)框架，運(yùn)維人員可基于簡(jiǎn)單Python腳本語(yǔ)言和API的組裝，快速開(kāi)發(fā)運(yùn)維場(chǎng)景工具。

??3、運(yùn)行環(huán)境托管：

??提供基于Docker容器化的運(yùn)行環(huán)境，支持場(chǎng)景工具的一鍵部署和運(yùn)行，減少各類運(yùn)維工具的運(yùn)維管理工作。

??基于PaaS技術(shù)架構(gòu)搭建一體化、自動(dòng)化運(yùn)維平臺(tái)，不僅能夠提供運(yùn)維工具效率，更能低成本快速響應(yīng)運(yùn)維場(chǎng)景建設(shè)，讓運(yùn)維人員不再成為“背鍋俠”、“跑路狗”。小伙伴們要想獲得更多如何實(shí)現(xiàn)ssl證書(shū)管理系統(tǒng)的有效監(jiān)控的內(nèi)容，請(qǐng)關(guān)注新網(wǎng)！