共计 1994 个字符,预计需要花费 5 分钟才能阅读完成。
本文作者:观测云产品技术专家 黄小龙
掘金链接:https://juejin.cn/post/717386…
Why
当初对于企业来说,HTTPS 曾经不是可选项,曾经成为一个必选项。HTTPS 协定采纳 SSL 协定,采纳公开密钥的技术,提供了一套 TCP/IP 传输层数据加密的机制。SSL 证书是一种恪守 SSL 协定的服务器数字证书,个别是由权威机构颁发给网站的可信凭证。SSL 证书是有过期工夫的限度的,自 2020 年的 9 月当前,权威机构颁发的 SSL 证书的最长有效期被限度在 398 天以内,也就是说,基本上每个网站都须要每年更新或者替换一次 SSL 证书,不然证书过期会导致网站无法访问、数据被裸露等各种危险。
依据互联网公开的信息,2018 年 12 月,日本运营商软银数字证书过期导致 3060 万用户通信故障长达 4 个多小时;2020 年 2 月,微软协同办公软件 Team 因证书过期在寰球范畴内处于宕机瘫痪状态;2020 年 5 月 13 日,特斯拉因证书过期导致 APP 呈现大面积宕机,导致大部分车主被锁在车外。据《企业数字证书治理平安考察》统计报告,74% 的组织都经验过证书过期的停机故障,每个组织的均匀损失超过 1100 万美元。
证书有效期的缩短,减少了证书更新的频率,导致应用加密证书的网站所有者和企业的治理周期变得更加简单,对许多依赖数字证书爱护零碎的公司来说,带来很大的证书治理老本,对于 SSL 证书的管理者来说,建设一套 SSL 证书有效期的监控巡检零碎十分有必要。
How
本文实现的 SSL 证书有效期监控巡检零碎原理比较简单,大抵流程如下图所示。实质上就是通过 Python 脚本获取域名的 SSL 证书文件,一般来说证书文件内容会包含颁发机构、证书序列号、有效期起始工夫、有效期完结工夫等信息,获取证书的有效期完结工夫后,判断证书是否行将过期,将过期事件推送至观测云,巡检系统配置对应的告警策略,产生事件告警后推送至钉钉群或企微群。
What
上面将会具体介绍如何利用观测云的智能巡检能力帮忙企业疾速构建一个 SSL 证书有效期监控巡检零碎。
步骤一:装置 DataFlux Func
执行以下命令装置 DataFlux Func 平台(func.guance.com),DataFlux Func 是一个基于 Python 的脚本开发、治理、执行平台,能够十分疾速不便的帮忙咱们执行 Python 脚本。
/bin/bash -c "$(curl -fsSL t.guance.com/func-portable-download)"步骤二:注册观测云
登录观测云官网(www.guance.com)注册观测云,注册实现之后,进入「治理」-「API Key 治理」-「新建 Key」,保留生成的 Key ID 和 Key。
步骤三:运行 SSL 证书有效期巡检脚本
进入步骤一搭建的 Func 平台,进入「治理」-「实验室」性能,关上「开启脚本市场」和「开启 PIP 工具模块」
进入「治理」-「脚本市场」,点击装置「观测云自建巡检 Core 外围包」
进入「治理」-「PIP 工具」,输出 pyopenssl,点击「装置」
进入「开发」-「增加脚本集」,填写 ID 和题目(此处可按需要随便填写),点击「保留」
进入「开发」-「SSL 证书有效期监控巡检」-「增加脚本」,填写脚本 ID
复制以下代码到「SSL 证书有效期监控巡检」-「main」脚本中,批改 134 行和 135 行的 API_KEY_ID 和 API_KEY 为步骤二创立的 Key ID 和 Key,批改 12 行的 domain_list,增加须要巡检的域名,点击右上角「公布」,若需脚本性能,可在编辑状态点击运行代码
请至文章结尾掘金链接原文查看
进入「治理」-「主动触发配置」-「新建」,抉择「执行函数」,依照理论要求来设置脚本执行频率,以下设置为每天 08:00 定时触发脚本
步骤四:配置智能巡检告警策略
进入观测云控制台(console.guance.com),抉择「监控」-「告诉对象治理」-「新建告诉对象」,依照理论要求增加告诉对象,以增加钉钉群机器人为例,具体步骤可参考增加页面「更多帮忙」
进入「监控」-「告警策略管理」-「新建告警策略」,输出「名称」,告警告诉对象抉择第一步创立的告诉对象
进入「监控」-「智能巡检」,点击批改「SSL 证书过期工夫巡检」,「告警策略」抉择第二步创立的告警策略
Tips:步骤三的脚本至多要运行一次才会有 SSL 证书过期工夫巡检这个选项
成果展现
- 通过观测云「事件」,能够对 SSL 证书过期事件进行治理
- 告警推送成果
总结本文
重点介绍如何利用现有平台的能力疾速帮忙构建企业级的 SSL 证书有效期监控巡检零碎。除此之外,观测云自身也能够反对接入指标、链路和日志等可观测性数据,并且能够对这些数据进行对立的标签解决,控制台可实现可观测性数据的相互关联买通,不便运维、研发和测试团队从一个立体了解零碎运行状况,可大大晋升软件开发交付的效率。
