一、概述

SSL 证书是一种数字证书，用于在用户和服务器之间建立加密链接，确保数据传输的安全性，防止数据在传输过程中被截获或篡改。SSL 证书不仅保护了数据传输过程中的隐私和完整性，还可以帮助验证网站的身份，防止钓鱼网站攻击，增强用户对网站的信任。

企业级域名 SSL 证书是一种专为商业用途设计的高级安全证书，它提供了比个人或免费证书更强的安全保障和信任级别。企业级域名 SSL 证书的有效期是指证书自颁发之日起至其到期日之间的时间范围。大多数网站每年都需要更新或更换一次SSL 证书。如果证书过期，可能会导致网站无法访问、数据安全风险增加，甚至可能遭受攻击。

二、解决方案

SSL 证书过期的后果非常严重，因此，企业应建立 SSL 证书有效期的监控巡检系统，以避免因证书过期引发的安全风险和经济损失。

观测云是一个提供系统可观测性解决方案的平台，观测云可以快速帮助构建企业级的域名 SSL 证书有效期智能巡检系统，智能获取到证书的有效期，距离有效期14天内，自动发送告警通知，有效预防因证书过期导致的风险。

三、最佳实践

创建 API Key

登录观测云控制台，点击「管理」 -「API Key 管理」 - 「新建 Key」。

部署 Func

DataFlux Func 是一款函数开发、管理、执行平台。Func 的脚本市场，集成了多种巡检的脚本，企业级的域名 SSL 证书有效期监控巡检就是其中之一，Func 的调度执行平台会定时执行巡检脚本，把产生的事件推送给观测云。执行如下命令即可实现一键部署 Func。

/bin/bash -c "$(curl -fsSL func.guance.com/portable-download)" -- --for=GSE

安装脚本

登录 Func，进入「脚本市场」。

Func 的脚本市场已经集成了 SSL 证书有效期监控巡检的脚本，点击“安装”。

输入前面在观测云控制台创建的 “Key ID”和 “Key”，然后点击“部署启动”。

点击“前往启动脚本”。

点击“编辑”按钮，可以修改 api_key_id 和 api_key 。如果使用的是私有化的观测云平台，需要添加名为“guance_node”的键值对，其中 open_api 对应观测云的 open api 域名，openway 对应 dataway 的域名。SAAS 版观测云不需要配置“guance_node”。

为“configs”配置需要监测的域名，多个域名用逗号分隔。

配置告警策略

下面配置告警策略，把 SSL 证书过期告警通知发送到企业微信机器人。

登录观测云控制台，点击「监控」 -「通知对象管理」 - 「新建通知对象」，在 Webhook 地址中填写微信机器人的 Webhook，名称填写“SSL 证书过期”。

点击「监控」 -「告警策略管理」 - 「新建告警策略」，通知配置栏分别配置“紧急”、“重要”、“警告”，值选择“SSL 证书过期”，名称填写“SSL证书过期告警策略”，点击“保存”。

在“智能巡检”界面，编辑“SSL证书过期时间巡检”。

告警策略选择“SSL证书过期告警策略”，点击“保存”。

四、效果展示

登录 Func，点击「管理」 -「自动触发配置」，找到“SSL证书过期巡检”，可以配置调度时间，也可以点击“执行”。

登录观测云控制台，点击「事件」 -「查看器」，即可看到一条“SSL证书即将过期”的通知。

同时企业微信机器人也会收到相同内容的告警。