【案例分析】如何實現企業SSL證書有效管理和監控?
- 2020 年 3 月 26 日
- 筆記
2020年3月20日晚間,許多蘋果用戶看到系統不斷地彈窗無法驗證伺服器身份,包括iOS、iPadOS以及 macOS系統全部如此。
在彈窗中蘋果標註不能驗證「appleimap.163.com」的身份,簡單來說就是這個域名的 HTTPS 證書無法被信任。
至於不能被信任的原因非常簡單,網易郵箱忘記給伺服器更換新證書,導致原證書到期後無法進行驗證。
運維又成了背鍋俠,原因很簡單,因為運維人員沒有在用戶之前發現證書過期並及時更換。
值得慶幸的是,該事件在接到用戶回饋之後及時更換了伺服器證書,未釀成重大資訊安全攻擊事件,若是對網易用戶引起資訊泄密事件,運維人員也將淪落「跑路」的下場。
No.1
關於數字證書
其實像這類忘記續期和更換數據證書的錯誤,在很多企業裡面都是可能會發生。因為企業內部的應用中,運維面向各式各樣的應用系統,這類證書基本都是2年才更換一次。如果沒有很好的工具進行檢測和通知,則經常被遺忘在運維忙碌的技術支援工作中。
疑惑一:
很多人可能想問,為啥這類情況經常會被忘記,為啥證書有效期不一次性設置100年呢?這樣,應用系統可能都下線了,就不再需要考慮證書過期的事情了?
事實上,數字證書一般由第三方的法定數據認證中心機構簽發,以數據證書為核心的加密技術對網路上傳輸的資訊進行加密和解密、數字簽名和簽名驗證,確保網上傳遞資訊的機密性、完整性,從而保障網路應用的安全性。所以,在保障可用性的前提下,定期的更新保障安全才是解決問題的核心。
據了解,基於安全考慮,蘋果Safari從2020年9月1日起就不再支援有效期超過398天的HTTPS加密證書。
最早提出縮短證書有效期,提高安全性的就是Google。由於市場佔有率非常高,對整個行業有巨大影響,因此遲遲都未推出具體的政策時間,但是有效期限制也是板上釘釘的。
參考鏈接:
疑惑二:
也有人會表達困惑,既然這樣的場景經常被遺忘,影響又比較大,這類數字證書可能會有哪些類型呢?從運維的角度,應該如何管理好這類證書的事情呢?
關於數字證書,從使用對象的角度,目前數字證書類型主要包括:個人身份證書、企業或機構身份證書、支付網關證書、伺服器證書、安全電子郵件證書、個人程式碼簽名證書。
從數據證書的技術角度,CA證書機構頒發的證書分為兩類:SSL證書和SET證書,一般SSL證書是服務於銀行對企業或企業對企業的電子商務活動,而SET證書則服務於持卡消費、網上溝通。
基於以上網易郵箱的案例,提到的證書是屬於伺服器證書或安全電子郵件證書,也是屬於SSL證書類型。
在企業運維中,更多關注的證書類型,是從應用系統的角度出發,屬於SSL證書類型的伺服器證書。
如何對這些SSL伺服器證書進行有效的管理和監控呢?以下給大家分享一個工具,即可滿足實現SSL證書的管理和有效期監控。
No.2
工具支援,有效管理
針對上述談到的SSL伺服器證書,從運維角度實現有效管理和監控的工具,主要有以下幾個核心功能:
自動發現伺服器證書
基於業務系統和訪問地址,可以自動獲取該應用伺服器正在使用和依賴的SSL伺服器證書,並獲取證書的頒發機構、使用者名稱及有效期資訊等,如下:
告警設置
針對已添加業務系統證書列表,基於證書有效期的管理,設置告警策略,如在過期前30天,發送通知管理員。
證書報表
基於證書頒發機構,定期更新和統計證書的資訊和有效期,能夠給到管理員每年提前規劃證書的採購、續期計劃。
No.3
基於PaaS技術平台,快速落地場景工具
當然,SSL證書管理和有效期監控,只是我們運維工作中一個很小的場景。
是否因為這樣一個不經常被關注的微小場景而引入一個工具會導致成本高昂呢?
是否從運維的角度,自研這樣一個小的運維工具,技術難度會很大呢?
是否為了支援各種類似的運維場景,都需要建設一套場景工具,導致工具太多、運維管理困難呢?
針對以上這些問題,分享一下我們的做法,也是我們很多客戶落地的做法,可以很好的解決上述問題。
通過一套運維PaaS平台,核心提供運維API Gateway、運維工具流水線、免運維託管環境,讓運維人員能夠低門檻入手工具開發,快速響應各類運維場景的工具需求。
API GateWay:
內置各種運維基礎的原子能力,如管控平台、作業平台、配置平台、容器平台、監控平台等,也可支援第三方API接入能力。
運維工具流水線:
提供基於VUE和Django的開發框架,運維人員可基於簡單Python腳本語言和API的組裝,快速開發運維場景工具。
運行環境託管:
提供基於Docker容器化的運行環境,支援場景工具的一鍵部署和運行,減少各類運維工具的運維管理工作。
基於PaaS技術架構搭建一體化、自動化運維平台,不僅能夠提供運維工具效率,更能低成本快速響應運維場景建設,讓運維人員不再成為「背鍋俠」、「跑路狗」。
