【案例分析】如何实现企业SSL证书有效管理和监控?
2020年3月20日晚间,许多苹果用户看到系统不断地弹窗没法验证服务器身份,包括iOS、iPadOS以及 macOS系统所有如此。安全
在弹窗中苹果标注不能验证「appleimap.163.com」的身份,简单来讲就是这个域名的 HTTPS 证书没法被信任。服务器
至于不能被信任的缘由很是简单,网易邮箱忘记给服务器更换新证书,致使原证书到期后没法进行验证。网络
运维又成了背锅侠,缘由很简单,由于运维人员没有在用户以前发现证书过时并及时更换。架构
值得庆幸的是,该事件在接到用户反馈以后及时更换了服务器证书,未酿成重大信息安全***事件,如果对网易用户引发信息泄密事件,运维人员也将沦落“跑路”的下场。app
关于数字证书
其实像这类忘记续期和更换数据证书的错误,在不少企业里面都是可能会发生。由于企业内部的应用中,运维面向各式各样的应用系统,这类证书基本都是2年才更换一次。若是没有很好的工具进行检测和通知,则常常被遗忘在运维忙碌的技术支持工做中。框架
疑惑一:运维
不少人可能想问,为啥这类状况常常会被忘记,为啥证书有效期不一次性设置100年呢?这样,应用系统可能都下线了,就再也不须要考虑证书过时的事情了?ide
事实上,数字证书通常由第三方的法定数据认证中心机构签发,以数据证书为核心的加密技术对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,从而保障网络应用的安全性。因此,在保障可用性的前提下,按期的更新保障安全才是解决问题的核心。工具
据了解,基于安全考虑,苹果Safari从2020年9月1日起就再也不支持有效期超过398天的HTTPS加密证书。加密
最先提出缩短证书有效期,提升安全性的就是谷歌。因为市场占有率很是高,对整个行业有巨大影响,所以迟迟都未推出具体的政策时间,可是有效期限制也是板上钉钉的。
疑惑二:
也有人会表达困惑,既然这样的场景常常被遗忘,影响又比较大,这类数字证书可能会有哪些类型呢?从运维的角度,应该如何管理好这类证书的事情呢?
关于数字证书,从使用对象的角度分,目前数字证书类型主要包括:我的身份证书、企业或机构身份证书、支付网关证书、服务器证书、安全电子邮件证书、我的代码签名证书。
从数据证书的技术角度分,CA证书机构颁发的证书分为两类:SSL证书和SET证书,通常SSL证书是服务于银行对企业或企业对企业的电子商务活动,而SET证书则服务于持卡消费、网上沟通。
基于以上网易邮箱的案例,提到的证书是属于服务器证书或安全电子邮件证书,也是属于SSL证书类型。
在企业运维中,更多关注的证书类型,是从应用系统的角度出发,属于SSL证书类型的服务器证书。
如何对这些SSL服务器证书进行有效的管理和监控呢?如下给你们分享一个小小的工具,便可知足实现SSL证书的管理和有效期监控。
工具支持,有效管理
针对上述谈到的SSL服务器证书,从运维角度实现有效管理和监控的工具,主要有如下几个核心功能:
自动发现服务器证书
基于业务系统和访问地址,能够自动获取该应用服务器正在使用和依赖的SSL服务器证书,并获取证书的颁发机构、使用者名称及有效期信息等,以下:
告警设置
针对已添加业务系统证书列表,基于证书有效期的管理,设置告警策略,如在过时前30天,发送通知管理员。
证书报表
基于证书颁发机构,按期更新和统计证书的信息和有效期,可以给到管理员每一年提早规划证书的采购、续期计划。
基于PaaS技术平台,快速落地场景工具
固然,SSL证书管理和有效期监控,只是咱们运维工做中一个很小的场景。
是否由于这样一个不常常被关注的微小场景而引入一个工具会致使成本会高昂呢?
是否从运维的角度,自研这样一个小的运维工具,技术难度会很大呢?
是否为了支持各类相似的运维场景,都须要建设一套场景工具,致使工具太多、运维管理困难呢?
针对以上这些问题,给分享一下咱们的作法,也是咱们不少客户落地的作法,能够很好的解决上述问题。
经过一套运维PaaS平台,核心提供运维API Gateway、运维工具流水线、免运维托管环境,让运维人员可以低门槛入手工具开发,快速响应各种运维场景的工具需求。
API GateWay:
内置各类运维基础的原子能力,如管控平台、做业平台、配置平台、容器平台、监控平台等,也可支持第三方API接入能力。
运维工具流水线:
提供基于VUE和Django的开发框架,运维人员可基于简单Python脚本语言和API的组装,快速开发运维场景工具。
运行环境托管:
提供基于Docker容器化的运行环境,支持场景工具的一键部署和运行,减小各种运维工具的运维管理工做。
基于PaaS技术架构搭建一体化、自动化运维平台,不只可以提供运维工具效率,更能低成本快速响应运维场景建设,让运维人员再也不成为“背锅侠”、“跑路狗”。
做者:李平洋
其余优质文章
- 1. 【案例分析】如何实现企业SSL证书有效管理和监控?
- 2. SHELL监控网站SSL证书有效期
- 3. 如何做好企业绩效管理?
- 4. 企业如何高效实施绩效管理系统
- 5. Android HTTPS如何10分钟实现自签名SSL证书
- 6. SSL 证书如何选择?
- 7. SSL证书如何选择
- 8. 如何选择SSL证书
- 9. 企业管理丨如何激励员工最有效?
- 10. 针对IDC企业管理难题该如何有效解决?
- 更多相关文章...
- • Git 分支管理 - Git 教程
- • XSD 如何使用? - XML Schema 教程
- • TiDB 在摩拜单车在线数据业务的应用和实践
- • ☆基于Java Instrument的Agent实现
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 「插件」Runner更新Pro版,帮助设计师远离996
- 2. 错误 707 Could not load file or assembly ‘Newtonsoft.Json, Version=12.0.0.0, Culture=neutral, PublicKe
- 3. Jenkins 2018 报告速览,Kubernetes使用率跃升235%!
- 4. TVI-Android技术篇之注解Annotation
- 5. android studio启动项目
- 6. Android的ADIL
- 7. Android卡顿的检测及优化方法汇总(线下+线上)
- 8. 登录注册的业务逻辑流程梳理
- 9. NDK(1)创建自己的C/C++文件
- 10. 小菜的系统框架界面设计-你的评估是我的决策
- 1. 【案例分析】如何实现企业SSL证书有效管理和监控?
- 2. SHELL监控网站SSL证书有效期
- 3. 如何做好企业绩效管理?
- 4. 企业如何高效实施绩效管理系统
- 5. Android HTTPS如何10分钟实现自签名SSL证书
- 6. SSL 证书如何选择?
- 7. SSL证书如何选择
- 8. 如何选择SSL证书
- 9. 企业管理丨如何激励员工最有效?
- 10. 针对IDC企业管理难题该如何有效解决?