引言：所有SSL數(shù)字證書的壽命都有限，并且在到期后就不再合法。在最低限度上，證書需要在其壽終正寢時(shí)被替換，以避免服務(wù)中斷或降低安全性。但是，在很多情況下，證書需要更早地被替換。

所有SSL數(shù)字證書的壽命都有限，并且在到期后就不再合法。證書有不同的合法周期，并且根據(jù)公司策略和成本問(wèn)題，證書的到期時(shí)間常被設(shè)置為從一到三年不等。

在最低限度上，證書需要在其壽終正寢時(shí)被替換，以避免服務(wù)中斷或降低安全性。但是，在很多情況下，證書需要更早地被替換（例如，“心臟出血”漏洞、公司合并、公司策略發(fā)生變更，等等）。

考慮到SSL證書的有限壽命及其在企業(yè)中的廣泛使用，我們可以找到管理SSL證書生命周期的很多原因。對(duì)于不依賴人工過(guò)程和工具的SSL證書來(lái)說(shuō)，精確記錄是極其關(guān)鍵的。

本文還要使企業(yè)認(rèn)識(shí)實(shí)現(xiàn)證書管理的規(guī)范化，使證書生命周期過(guò)程實(shí)現(xiàn)自動(dòng)管理，能夠?qū)崿F(xiàn)更好的監(jiān)管和控制，降低成本，提高效率，降低安全風(fēng)險(xiǎn)。

證書管理差強(qiáng)人意

雖然SSL證書最常見(jiàn)的使用是，顯示在以交易業(yè)務(wù)為主的網(wǎng)站上用以保護(hù)用戶和付款信息的“瀏覽器鎖定”圖標(biāo)，但SSL證書還可用于保證擁有關(guān)鍵業(yè)務(wù)企業(yè)的基礎(chǔ)架構(gòu)組件的安全性。

例如，雇員和合伙人使用VPN來(lái)訪問(wèn)敏感信息，而后端系統(tǒng)依賴SSL證書來(lái)保障遠(yuǎn)程訪問(wèn)的安全。事實(shí)上，所有基于瀏覽器的云服務(wù)都要求依靠SSL證書來(lái)傳送客戶的賬戶信息、業(yè)務(wù)合伙人的業(yè)務(wù)、庫(kù)存狀態(tài)、時(shí)間跟蹤及許多其它的使用。

在企業(yè)內(nèi)部部署得最多的雇員效率提升工具和應(yīng)用（例如，銷售報(bào)價(jià)和文檔庫(kù)）也要依賴SSL的安全性。而且其使用不限于基于瀏覽器的安全。

SSL證書還被用于保障服務(wù)器到服務(wù)器的通信（實(shí)現(xiàn)應(yīng)用程序和數(shù)據(jù)的交換）安全。

由于SSL證書的這種廣泛使用，不正確配置的證書或到期的證書都有可能帶來(lái)災(zāi)難性后果。

如果SSL證書無(wú)法正常工作，企業(yè)不僅會(huì)喪失收入并使客戶的信心面臨風(fēng)險(xiǎn)，而且雇員和企業(yè)合伙人也可能無(wú)法正常工作。暴露機(jī)密信息的風(fēng)險(xiǎn)會(huì)極大增加，并且有可能導(dǎo)致經(jīng)濟(jì)損失，或因不合規(guī)而遭受懲罰。

因而，管理企業(yè)復(fù)雜網(wǎng)絡(luò)中的SSL證書以確保實(shí)現(xiàn)保護(hù)和防止意外問(wèn)題對(duì)所有企業(yè)來(lái)說(shuō)都是非常必要的。

實(shí)施證書的生命周期管理正當(dāng)時(shí)

雖然確保SSL證書的正確實(shí)施非常關(guān)鍵，但是管理大型企業(yè)中的每一個(gè)獨(dú)立的證書并非易事。由于企業(yè)位置和部門的多重性，以及外部的基于云的服務(wù)的不斷快速增長(zhǎng)，管理變得更加困難。

除增加了復(fù)雜性，管理的成本也很高。思科（Cisco）曾估計(jì)，在實(shí)施證書的生命周期管理之前，企業(yè)管理每個(gè)證書大約需要花費(fèi)四個(gè)小時(shí)。根據(jù)這種情況來(lái)分析，管理一個(gè)證書要比最初購(gòu)買證書的成本還要高。

由于許多企業(yè)都利用多種管理方法（這些方法往往根據(jù)部門和功能而變化，并且往往是特定的和人工的），因而要防止出問(wèn)題就變得更困難。

利用生命周期管理系統(tǒng)可以確保一種一致性的管理方法，并且支持自動(dòng)化，因而會(huì)提高效率和SSL證書管理的效力。

雖然，為了部署新的或維護(hù)已有的應(yīng)用程序，以防止與不正確實(shí)施證書配置和證書到期而帶來(lái)的有關(guān)問(wèn)題，企業(yè)需要進(jìn)行大量管理工作，但是企業(yè)中重大變化和計(jì)劃外的事件都可能極大增加時(shí)間、成本、安全風(fēng)險(xiǎn)。

典型的運(yùn)營(yíng)變化，例如數(shù)據(jù)中心內(nèi)部的遷移、私有云和公有云的引入、企業(yè)并購(gòu)等，都會(huì)給分散的人工管理過(guò)程帶來(lái)很大壓力。

同樣地，使用非集中化的和人工的管理系統(tǒng)，幾乎無(wú)法響應(yīng)一些要求快速更換證書的預(yù)料之外的事件（例如，心臟出血漏洞，SHA-1哈希的快速終結(jié)）。

什么是證書的生命周期？

如上所述，SSL證書并不是安裝完畢后就可以運(yùn)行的“常青樹(shù)”，而是有著有限的生命周期且不允許以軟件同樣的方式進(jìn)行更新。SSL證書具備如下特征，在綜合考慮時(shí)要求進(jìn)行如下管理：

發(fā)布：企業(yè)應(yīng)從可信的廠商購(gòu)買證書，并確保部署內(nèi)部審批和行政監(jiān)督到位。

詳細(xì)清單：要記錄關(guān)于證書類型、部署、到期時(shí)間，以及負(fù)責(zé)證書管理的人員和部門等信息。

監(jiān)視：持續(xù)地監(jiān)視上述清單，確保其滿足當(dāng)前的合規(guī)要求。

更新：證書的所有者應(yīng)當(dāng)跟蹤到期時(shí)間，在到期之前替換證書，并且驗(yàn)證正確的證書安裝。

退役：到期的證書狀態(tài)應(yīng)記錄為“不再服務(wù)”或“已更新”，或者能夠在需要時(shí)提早撤消。

解決SSL證書的管理難題

如果企業(yè)沒(méi)有適當(dāng)?shù)淖C書生命周期管理，就會(huì)在如下的一個(gè)或幾個(gè)階段存在局限性（但通過(guò)證書生命周期管理卻能夠解決）：

在證書的發(fā)行階段，如果沒(méi)有生命周期管理，則會(huì)存在多個(gè)雜亂的界面和認(rèn)證機(jī)制；如果有了管理，就可以使用一個(gè)獨(dú)立的常見(jiàn)界面和授權(quán)機(jī)制。

在證書清查階段，如果沒(méi)有證書的生命周期管理，清查結(jié)果或清查清單就會(huì)受到在發(fā)布階段所收集信息的限制，清單往往陳舊且不充分；如果企業(yè)采用了生命周期管理，就可以通過(guò)自動(dòng)系統(tǒng)使證書信息持續(xù)地更新。

在監(jiān)視階段，在沒(méi)有采用生命周期管理方案時(shí)，證書容易在系統(tǒng)中迷失，到期且引起收入和信譽(yù)的損失；如果采用生命周期管理，可定制的電子郵件通知就可以在證書的生命周期期間，在多個(gè)點(diǎn)上向用戶發(fā)出警告信息，從而確保用戶不會(huì)忽視任何重要問(wèn)題。

在更新階段，在不采用證書生命周期管理時(shí)，由于受到上一階段的電子郵件通知的限制，企業(yè)無(wú)法驗(yàn)證證書的安裝；而通過(guò)實(shí)施生命周期管理，企業(yè)就可以創(chuàng)建一種閉合的過(guò)程，并且可以驗(yàn)證證書的安裝。

在證書的退役階段，在沒(méi)有生命周期管理時(shí)，根本談不到正式的退役；如果采用生命周期管理，證書都可以正式地更新或退役。

六步曲

1，開(kāi)始掃描

即掃描整個(gè)環(huán)境：掃描所有應(yīng)用程序，掃描所有的域和證書。

首先，企業(yè)需要了解SSL證書在哪里，只有這樣才能深入地理解在企業(yè)中部署的所有SSL證書。這對(duì)于保障在線業(yè)務(wù)和通信安全至關(guān)重要，當(dāng)然對(duì)于確保后端操作和應(yīng)用的安全也生死攸關(guān)。

即使企業(yè)已經(jīng)具備了證書管理服務(wù)和許可過(guò)程，多數(shù)CA發(fā)現(xiàn)工具也只能發(fā)現(xiàn)由此CA發(fā)行的SSL證書或此類型的證書。在這種情況下，審計(jì)就會(huì)遺漏未許可購(gòu)買的證書（往往是那些管理員應(yīng)當(dāng)關(guān)注的證書）。

管理者必須確認(rèn)企業(yè)正在使用一種通用的能夠發(fā)現(xiàn)所有證書的證書發(fā)現(xiàn)工具。這種發(fā)現(xiàn)工具還應(yīng)當(dāng)驗(yàn)證是否SSL證書都已經(jīng)正確地安裝。購(gòu)買一種通用的證書發(fā)現(xiàn)工具最終會(huì)節(jié)省時(shí)間、減少風(fēng)險(xiǎn)，并且可以簡(jiǎn)化審計(jì)過(guò)程。徹底的審計(jì)有助于確定企業(yè)對(duì)額外的一些工具以及策略和過(guò)程改進(jìn)的需要。

2，開(kāi)始整合

即將所有證書整合到一個(gè)集中管理的系統(tǒng)中。

隨著公有和私有云服務(wù)的使用，以及應(yīng)用和平臺(tái)的增加，對(duì)SSL證書的需要也相應(yīng)增加；這反過(guò)來(lái)會(huì)增加不同SSL證書類型的管理員和賬戶的數(shù)量。如果企業(yè)沒(méi)有單一的控制點(diǎn)，對(duì)這些的管理就會(huì)變得捉襟見(jiàn)肘。

企業(yè)有可能從多個(gè)不同的廠商購(gòu)得了不同加密強(qiáng)度和認(rèn)證水平的SSL證書，并且每個(gè)證書都有自己的管理控制臺(tái)。

基于審計(jì)結(jié)果，企業(yè)會(huì)掌握評(píng)估環(huán)境中SSL使用的更完整的信息。這有助于確認(rèn)那些存在“孤島”和“碎片”的地方，可以使管理員將證書管理整合到單獨(dú)的一個(gè)管理賬戶實(shí)現(xiàn)更好的控制。

企業(yè)應(yīng)建立單獨(dú)的一個(gè)主要賬戶用于日后的工作。隨著當(dāng)前的證書到期，企業(yè)就可以用來(lái)自最重要的可管理賬戶（它支持所有證書類型）的證書來(lái)替換它。

3，建立一個(gè)過(guò)程

此過(guò)程就是定義一個(gè)企業(yè)范圍內(nèi)用于監(jiān)視和控制策略的管理過(guò)程。

首先，要確認(rèn)誰(shuí)負(fù)責(zé)證書管理，哪些人可以得到授權(quán)和對(duì)證書管理進(jìn)行操作。

定義管理員、管理員的請(qǐng)求者、批準(zhǔn)者以及企業(yè)內(nèi)部要求的任何其它角色，這樣做可以使得部署管理過(guò)程更簡(jiǎn)單。企業(yè)工作流程的設(shè)計(jì)應(yīng)當(dāng)簡(jiǎn)化管理，并且避免瓶頸或死胡同。要考慮哪些人有哪些特權(quán)，用戶如何登記注冊(cè)以及哪些人可以接收哪些類型的通知。

利用基于角色的訪問(wèn)和靈活實(shí)時(shí)的特權(quán)分配有助于強(qiáng)化管理過(guò)程，并可以根據(jù)用戶的角色和企業(yè)特征和性質(zhì)來(lái)使用戶管理證書。審計(jì)日志應(yīng)當(dāng)記錄與每個(gè)已發(fā)布證書有關(guān)聯(lián)的所有管理員的活動(dòng)，并且還可用于發(fā)現(xiàn)任何違反策略的情況。

4，保持警惕

企業(yè)應(yīng)建立警告和報(bào)告，用以監(jiān)視證書清單。企業(yè)需要能夠根據(jù)權(quán)威信息和當(dāng)前信息來(lái)對(duì)證書問(wèn)題發(fā)出通知，通過(guò)一個(gè)可行的過(guò)程來(lái)解決證書問(wèn)題。

企業(yè)應(yīng)實(shí)時(shí)地將迫近的關(guān)鍵證書的到期作為事件，以防止服務(wù)中斷。依靠不完整的人工報(bào)告中的靜態(tài)信息（如警告日志）無(wú)法滿足要求。

企業(yè)應(yīng)搭建證書管理平臺(tái)，以便于更好地管理時(shí)間和資源，并且運(yùn)行動(dòng)態(tài)的實(shí)時(shí)的報(bào)告，根據(jù)證書的狀態(tài)（例如，所有的證書請(qǐng)求、合法性、已撤銷、到期）顯示整個(gè)企業(yè)中實(shí)際的SSL證書清單。企業(yè)定期發(fā)布更新報(bào)告可以幫助管理員計(jì)劃SSL證書的更新，并防止服務(wù)中斷。

在證書快要到期卻沒(méi)有采取任何行動(dòng)時(shí)，這些報(bào)告應(yīng)提供一個(gè)發(fā)布清單，實(shí)現(xiàn)失效轉(zhuǎn)移和下一步行動(dòng)。歷史報(bào)告可以使管理員觀察過(guò)去的使用，用于未來(lái)的計(jì)劃和管理。企業(yè)還應(yīng)當(dāng)經(jīng)常運(yùn)行SSL服務(wù)器測(cè)試。這種網(wǎng)絡(luò)服務(wù)對(duì)互聯(lián)網(wǎng)上的任何SSL web服務(wù)器的配置進(jìn)行深入分析。

5，撤消和替換

集中化的證書清查和管理工具結(jié)合證書的發(fā)行周期、密鑰強(qiáng)度、驗(yàn)證類型等方面的策略，可以使得撤消和替換證書更輕松。這種系統(tǒng)和過(guò)程既支持常規(guī)的更新和替換，也支持非常規(guī)的情況。

例如，在服務(wù)器離線、被移動(dòng)或替換時(shí)，管理員應(yīng)當(dāng)訪問(wèn)一個(gè)管理系統(tǒng)，采取行動(dòng)，撤銷SSL證書，或者在必要時(shí)替換SSL證書。這類系統(tǒng)還支持諸如“心臟出血”漏洞的修復(fù)等情形。

在發(fā)生私鑰丟失的事件中，或者如果服務(wù)器崩潰且證書被刪除，管理員應(yīng)當(dāng)能夠撤銷證書并且發(fā)布一個(gè)代替證書。

6，持續(xù)發(fā)現(xiàn)和監(jiān)視

企業(yè)要通過(guò)已建立的過(guò)程進(jìn)行持續(xù)地發(fā)現(xiàn)和監(jiān)視。如果企業(yè)部署了多余的證書，就會(huì)帶來(lái)持續(xù)的威脅，將企業(yè)置于風(fēng)險(xiǎn)之中。

常見(jiàn)的情形包括某人合理地獲得了測(cè)試或開(kāi)發(fā)環(huán)境中的證書，或者一個(gè)外部廠商部署了一個(gè)未經(jīng)認(rèn)證的證書，或者惡意用戶為自己的利益安裝多余的證書。

企業(yè)應(yīng)利用發(fā)現(xiàn)和SSL服務(wù)器的測(cè)試工具來(lái)持續(xù)地監(jiān)視和掃描環(huán)境，從而確保整個(gè)過(guò)程的完整性，并防止服務(wù)中斷和安全風(fēng)險(xiǎn)。對(duì)照規(guī)范和其它策略定期檢查當(dāng)前的做法，確保整個(gè)過(guò)程隨著行業(yè)標(biāo)準(zhǔn)、合規(guī)要求、新的威脅載體、技術(shù)更新和業(yè)務(wù)目標(biāo)而演變。

結(jié)束語(yǔ)

企業(yè)通過(guò)利用由獨(dú)立的全面SSL證書管理方法支持的證書生命周期過(guò)程，就可以獲得企業(yè)范圍內(nèi)的可見(jiàn)性并確保企業(yè)的安全。

這種方案的關(guān)鍵組件是SSL證書管理系統(tǒng)的使用，它支持過(guò)程驅(qū)動(dòng)，可以簡(jiǎn)化SSL證書的發(fā)現(xiàn)和監(jiān)視，并可以使證書的更新和遷移實(shí)現(xiàn)自動(dòng)化。

有效的SSL證書管理方案可以使企業(yè)明確自己的證書種類，幫助企業(yè)及時(shí)地更新證書，并且管理多個(gè)不同廠商之間的證書。

生命周期管理系統(tǒng)的實(shí)施最終可以使響應(yīng)安全事件的靈活性，執(zhí)行更新（，防止服務(wù)中斷并保持合規(guī)。這種有效的方法可以減少總成本，也可以減少在一個(gè)分布式環(huán)境中管理SSL證書的復(fù)雜性。N