一、概述
SSL 证书是一种数字证书,用于在用户和服务器之间建立加密链接,确保数据传输的安全性,防止数据在传输过程中被截获或篡改。SSL 证书不仅保护了数据传输过程中的隐私和完整性,还可以帮助验证网站的身份,防止钓鱼网站攻击,增强用户对网站的信任。
企业级域名 SSL 证书是一种专为商业用途设计的高级安全证书,它提供了比个人或免费证书更强的安全保障和信任级别。企业级域名 SSL 证书的有效期是指证书自颁发之日起至其到期日之间的时间范围。大多数网站每年都需要更新或更换一次SSL 证书。如果证书过期,可能会导致网站无法访问、数据安全风险增加,甚至可能遭受攻击。
二、解决方案
SSL 证书过期的后果非常严重,因此,企业应建立 SSL 证书有效期的监控巡检系统,以避免因证书过期引发的安全风险和经济损失。
观测云是一个提供系统可观测性解决方案的平台,观测云可以快速帮助构建企业级的域名 SSL 证书有效期智能巡检系统,智能获取到证书的有效期,距离有效期14天内,自动发送告警通知,有效预防因证书过期导致的风险。
三、最佳实践
创建 API Key
登录观测云控制台,点击「管理」 -「API Key 管理」 - 「新建 Key」。
部署 Func
DataFlux Func 是一款函数开发、管理、执行平台。Func 的脚本市场,集成了多种巡检的脚本,企业级的域名 SSL 证书有效期监控巡检就是其中之一,Func 的调度执行平台会定时执行巡检脚本,把产生的事件推送给观测云。执行如下命令即可实现一键部署 Func。
/bin/bash -c "$(curl -fsSL func.guance.com/portable-download)" -- --for=GSE
安装脚本
登录 Func,进入「脚本市场」。
Func 的脚本市场已经集成了 SSL 证书有效期监控巡检的脚本,点击“安装”。
输入前面在观测云控制台创建的 “Key ID”和 “Key”,然后点击“部署启动”。
点击“前往启动脚本”。
点击“编辑”按钮,可以修改 api_key_id 和 api_key 。如果使用的是私有化的观测云平台,需要添加名为“guance_node”的键值对,其中 open_api 对应观测云的 open api 域名,openway 对应 dataway 的域名。SAAS 版观测云不需要配置“guance_node”。
为“configs”配置需要监测的域名,多个域名用逗号分隔。
配置告警策略
下面配置告警策略,把 SSL 证书过期告警通知发送到企业微信机器人。
登录观测云控制台,点击「监控」 -「通知对象管理」 - 「新建通知对象」,在 Webhook 地址中填写微信机器人的 Webhook,名称填写“SSL 证书过期”。
点击「监控」 -「告警策略管理」 - 「新建告警策略」,通知配置栏分别配置“紧急”、“重要”、“警告”,值选择“SSL 证书过期”,名称填写“SSL证书过期告警策略”,点击“保存”。
在“智能巡检”界面,编辑“SSL证书过期时间巡检”。
告警策略选择“SSL证书过期告警策略”,点击“保存”。
四、效果展示
登录 Func,点击「管理」 -「自动触发配置」,找到“SSL证书过期巡检”,可以配置调度时间,也可以点击“执行”。
登录观测云控制台,点击「事件」 -「查看器」,即可看到一条“SSL证书即将过期”的通知。
同时企业微信机器人也会收到相同内容的告警。