引言：所有SSL數(shù)字證書的壽命都有限，并且在到期后就不再合法。在最低限度上，證書需要在其壽終正寢時被替換，以避免服務(wù)中斷或降低安全性。但是，在很多情況下，證書需要更早地被替換。

所有SSL數(shù)字證書的壽命都有限，并且在到期后就不再合法。證書有不同的合法周期，并且根據(jù)公司策略和成本問題，證書的到期時間常被設(shè)置為從一到三年不等。

在最低限度上，證書需要在其壽終正寢時被替換，以避免服務(wù)中斷或降低安全性。但是，在很多情況下，證書需要更早地被替換（例如，“心臟出血”漏洞、公司合并、公司策略發(fā)生變更，等等）。

考慮到SSL證書的有限壽命及其在企業(yè)中的廣泛使用，我們可以找到管理SSL證書生命周期的很多原因。對于不依賴人工過程和工具的SSL證書來說，精確記錄是極其關(guān)鍵的。

本文還要使企業(yè)認(rèn)識實現(xiàn)證書管理的規(guī)范化，使證書生命周期過程實現(xiàn)自動管理，能夠?qū)崿F(xiàn)更好的監(jiān)管和控制，降低成本，提高效率，降低安全風(fēng)險。

證書管理差強人意

雖然SSL證書最常見的使用是，顯示在以交易業(yè)務(wù)為主的網(wǎng)站上用以保護用戶和付款信息的“瀏覽器鎖定”圖標(biāo)，但SSL證書還可用于保證擁有關(guān)鍵業(yè)務(wù)企業(yè)的基礎(chǔ)架構(gòu)組件的安全性。

例如，雇員和合伙人使用VPN來訪問敏感信息，而后端系統(tǒng)依賴SSL證書來保障遠(yuǎn)程訪問的安全。事實上，所有基于瀏覽器的云服務(wù)都要求依靠SSL證書來傳送客戶的賬戶信息、業(yè)務(wù)合伙人的業(yè)務(wù)、庫存狀態(tài)、時間跟蹤及許多其它的使用。

在企業(yè)內(nèi)部部署得最多的雇員效率提升工具和應(yīng)用（例如，銷售報價和文檔庫）也要依賴SSL的安全性。而且其使用不限于基于瀏覽器的安全。

SSL證書還被用于保障服務(wù)器到服務(wù)器的通信（實現(xiàn)應(yīng)用程序和數(shù)據(jù)的交換）安全。

由于SSL證書的這種廣泛使用，不正確配置的證書或到期的證書都有可能帶來災(zāi)難性后果。

如果SSL證書無法正常工作，企業(yè)不僅會喪失收入并使客戶的信心面臨風(fēng)險，而且雇員和企業(yè)合伙人也可能無法正常工作。暴露機密信息的風(fēng)險會極大增加，并且有可能導(dǎo)致經(jīng)濟損失，或因不合規(guī)而遭受懲罰。

因而，管理企業(yè)復(fù)雜網(wǎng)絡(luò)中的SSL證書以確保實現(xiàn)保護和防止意外問題對所有企業(yè)來說都是非常必要的。

實施證書的生命周期管理正當(dāng)時

雖然確保SSL證書的正確實施非常關(guān)鍵，但是管理大型企業(yè)中的每一個獨立的證書并非易事。由于企業(yè)位置和部門的多重性，以及外部的基于云的服務(wù)的不斷快速增長，管理變得更加困難。

除增加了復(fù)雜性，管理的成本也很高。思科（Cisco）曾估計，在實施證書的生命周期管理之前，企業(yè)管理每個證書大約需要花費四個小時。根據(jù)這種情況來分析，管理一個證書要比最初購買證書的成本還要高。

由于許多企業(yè)都利用多種管理方法（這些方法往往根據(jù)部門和功能而變化，并且往往是特定的和人工的），因而要防止出問題就變得更困難。

利用生命周期管理系統(tǒng)可以確保一種一致性的管理方法，并且支持自動化，因而會提高效率和SSL證書管理的效力。

雖然，為了部署新的或維護已有的應(yīng)用程序，以防止與不正確實施證書配置和證書到期而帶來的有關(guān)問題，企業(yè)需要進行大量管理工作，但是企業(yè)中重大變化和計劃外的事件都可能極大增加時間、成本、安全風(fēng)險。

典型的運營變化，例如數(shù)據(jù)中心內(nèi)部的遷移、私有云和公有云的引入、企業(yè)并購等，都會給分散的人工管理過程帶來很大壓力。

同樣地，使用非集中化的和人工的管理系統(tǒng)，幾乎無法響應(yīng)一些要求快速更換證書的預(yù)料之外的事件（例如，心臟出血漏洞，SHA-1哈希的快速終結(jié)）。

什么是證書的生命周期？

如上所述，SSL證書并不是安裝完畢后就可以運行的“常青樹”，而是有著有限的生命周期且不允許以軟件同樣的方式進行更新。SSL證書具備如下特征，在綜合考慮時要求進行如下管理：

發(fā)布：企業(yè)應(yīng)從可信的廠商購買證書，并確保部署內(nèi)部審批和行政監(jiān)督到位。

詳細(xì)清單：要記錄關(guān)于證書類型、部署、到期時間，以及負(fù)責(zé)證書管理的人員和部門等信息。

監(jiān)視：持續(xù)地監(jiān)視上述清單，確保其滿足當(dāng)前的合規(guī)要求。

更新：證書的所有者應(yīng)當(dāng)跟蹤到期時間，在到期之前替換證書，并且驗證正確的證書安裝。

退役：到期的證書狀態(tài)應(yīng)記錄為“不再服務(wù)”或“已更新”，或者能夠在需要時提早撤消。

解決SSL證書的管理難題

如果企業(yè)沒有適當(dāng)?shù)淖C書生命周期管理，就會在如下的一個或幾個階段存在局限性（但通過證書生命周期管理卻能夠解決）：

在證書的發(fā)行階段，如果沒有生命周期管理，則會存在多個雜亂的界面和認(rèn)證機制；如果有了管理，就可以使用一個獨立的常見界面和授權(quán)機制。

在證書清查階段，如果沒有證書的生命周期管理，清查結(jié)果或清查清單就會受到在發(fā)布階段所收集信息的限制，清單往往陳舊且不充分；如果企業(yè)采用了生命周期管理，就可以通過自動系統(tǒng)使證書信息持續(xù)地更新。

在監(jiān)視階段，在沒有采用生命周期管理方案時，證書容易在系統(tǒng)中迷失，到期且引起收入和信譽的損失；如果采用生命周期管理，可定制的電子郵件通知就可以在證書的生命周期期間，在多個點上向用戶發(fā)出警告信息，從而確保用戶不會忽視任何重要問題。

在更新階段，在不采用證書生命周期管理時，由于受到上一階段的電子郵件通知的限制，企業(yè)無法驗證證書的安裝；而通過實施生命周期管理，企業(yè)就可以創(chuàng)建一種閉合的過程，并且可以驗證證書的安裝。

在證書的退役階段，在沒有生命周期管理時，根本談不到正式的退役；如果采用生命周期管理，證書都可以正式地更新或退役。

六步曲

1，開始掃描

即掃描整個環(huán)境：掃描所有應(yīng)用程序，掃描所有的域和證書。

首先，企業(yè)需要了解SSL證書在哪里，只有這樣才能深入地理解在企業(yè)中部署的所有SSL證書。這對于保障在線業(yè)務(wù)和通信安全至關(guān)重要，當(dāng)然對于確保后端操作和應(yīng)用的安全也生死攸關(guān)。

即使企業(yè)已經(jīng)具備了證書管理服務(wù)和許可過程，多數(shù)CA發(fā)現(xiàn)工具也只能發(fā)現(xiàn)由此CA發(fā)行的SSL證書或此類型的證書。在這種情況下，審計就會遺漏未許可購買的證書（往往是那些管理員應(yīng)當(dāng)關(guān)注的證書）。

管理者必須確認(rèn)企業(yè)正在使用一種通用的能夠發(fā)現(xiàn)所有證書的證書發(fā)現(xiàn)工具。這種發(fā)現(xiàn)工具還應(yīng)當(dāng)驗證是否SSL證書都已經(jīng)正確地安裝。購買一種通用的證書發(fā)現(xiàn)工具最終會節(jié)省時間、減少風(fēng)險，并且可以簡化審計過程。徹底的審計有助于確定企業(yè)對額外的一些工具以及策略和過程改進的需要。

2，開始整合

即將所有證書整合到一個集中管理的系統(tǒng)中。

隨著公有和私有云服務(wù)的使用，以及應(yīng)用和平臺的增加，對SSL證書的需要也相應(yīng)增加；這反過來會增加不同SSL證書類型的管理員和賬戶的數(shù)量。如果企業(yè)沒有單一的控制點，對這些的管理就會變得捉襟見肘。

企業(yè)有可能從多個不同的廠商購得了不同加密強度和認(rèn)證水平的SSL證書，并且每個證書都有自己的管理控制臺。

基于審計結(jié)果，企業(yè)會掌握評估環(huán)境中SSL使用的更完整的信息。這有助于確認(rèn)那些存在“孤島”和“碎片”的地方，可以使管理員將證書管理整合到單獨的一個管理賬戶實現(xiàn)更好的控制。

企業(yè)應(yīng)建立單獨的一個主要賬戶用于日后的工作。隨著當(dāng)前的證書到期，企業(yè)就可以用來自最重要的可管理賬戶（它支持所有證書類型）的證書來替換它。

3，建立一個過程

此過程就是定義一個企業(yè)范圍內(nèi)用于監(jiān)視和控制策略的管理過程。

首先，要確認(rèn)誰負(fù)責(zé)證書管理，哪些人可以得到授權(quán)和對證書管理進行操作。

定義管理員、管理員的請求者、批準(zhǔn)者以及企業(yè)內(nèi)部要求的任何其它角色，這樣做可以使得部署管理過程更簡單。企業(yè)工作流程的設(shè)計應(yīng)當(dāng)簡化管理，并且避免瓶頸或死胡同。要考慮哪些人有哪些特權(quán)，用戶如何登記注冊以及哪些人可以接收哪些類型的通知。

利用基于角色的訪問和靈活實時的特權(quán)分配有助于強化管理過程，并可以根據(jù)用戶的角色和企業(yè)特征和性質(zhì)來使用戶管理證書。審計日志應(yīng)當(dāng)記錄與每個已發(fā)布證書有關(guān)聯(lián)的所有管理員的活動，并且還可用于發(fā)現(xiàn)任何違反策略的情況。

4，保持警惕

企業(yè)應(yīng)建立警告和報告，用以監(jiān)視證書清單。企業(yè)需要能夠根據(jù)權(quán)威信息和當(dāng)前信息來對證書問題發(fā)出通知，通過一個可行的過程來解決證書問題。

企業(yè)應(yīng)實時地將迫近的關(guān)鍵證書的到期作為事件，以防止服務(wù)中斷。依靠不完整的人工報告中的靜態(tài)信息（如警告日志）無法滿足要求。

企業(yè)應(yīng)搭建證書管理平臺，以便于更好地管理時間和資源，并且運行動態(tài)的實時的報告，根據(jù)證書的狀態(tài)（例如，所有的證書請求、合法性、已撤銷、到期）顯示整個企業(yè)中實際的SSL證書清單。企業(yè)定期發(fā)布更新報告可以幫助管理員計劃SSL證書的更新，并防止服務(wù)中斷。

在證書快要到期卻沒有采取任何行動時，這些報告應(yīng)提供一個發(fā)布清單，實現(xiàn)失效轉(zhuǎn)移和下一步行動。歷史報告可以使管理員觀察過去的使用，用于未來的計劃和管理。企業(yè)還應(yīng)當(dāng)經(jīng)常運行SSL服務(wù)器測試。這種網(wǎng)絡(luò)服務(wù)對互聯(lián)網(wǎng)上的任何SSL web服務(wù)器的配置進行深入分析。

5，撤消和替換

集中化的證書清查和管理工具結(jié)合證書的發(fā)行周期、密鑰強度、驗證類型等方面的策略，可以使得撤消和替換證書更輕松。這種系統(tǒng)和過程既支持常規(guī)的更新和替換，也支持非常規(guī)的情況。

例如，在服務(wù)器離線、被移動或替換時，管理員應(yīng)當(dāng)訪問一個管理系統(tǒng)，采取行動，撤銷SSL證書，或者在必要時替換SSL證書。這類系統(tǒng)還支持諸如“心臟出血”漏洞的修復(fù)等情形。

在發(fā)生私鑰丟失的事件中，或者如果服務(wù)器崩潰且證書被刪除，管理員應(yīng)當(dāng)能夠撤銷證書并且發(fā)布一個代替證書。

6，持續(xù)發(fā)現(xiàn)和監(jiān)視

企業(yè)要通過已建立的過程進行持續(xù)地發(fā)現(xiàn)和監(jiān)視。如果企業(yè)部署了多余的證書，就會帶來持續(xù)的威脅，將企業(yè)置于風(fēng)險之中。

常見的情形包括某人合理地獲得了測試或開發(fā)環(huán)境中的證書，或者一個外部廠商部署了一個未經(jīng)認(rèn)證的證書，或者惡意用戶為自己的利益安裝多余的證書。

企業(yè)應(yīng)利用發(fā)現(xiàn)和SSL服務(wù)器的測試工具來持續(xù)地監(jiān)視和掃描環(huán)境，從而確保整個過程的完整性，并防止服務(wù)中斷和安全風(fēng)險。對照規(guī)范和其它策略定期檢查當(dāng)前的做法，確保整個過程隨著行業(yè)標(biāo)準(zhǔn)、合規(guī)要求、新的威脅載體、技術(shù)更新和業(yè)務(wù)目標(biāo)而演變。

結(jié)束語

企業(yè)通過利用由獨立的全面SSL證書管理方法支持的證書生命周期過程，就可以獲得企業(yè)范圍內(nèi)的可見性并確保企業(yè)的安全。

這種方案的關(guān)鍵組件是SSL證書管理系統(tǒng)的使用，它支持過程驅(qū)動，可以簡化SSL證書的發(fā)現(xiàn)和監(jiān)視，并可以使證書的更新和遷移實現(xiàn)自動化。

有效的SSL證書管理方案可以使企業(yè)明確自己的證書種類，幫助企業(yè)及時地更新證書，并且管理多個不同廠商之間的證書。

生命周期管理系統(tǒng)的實施最終可以使響應(yīng)安全事件的靈活性，執(zhí)行更新（，防止服務(wù)中斷并保持合規(guī)。這種有效的方法可以減少總成本，也可以減少在一個分布式環(huán)境中管理SSL證書的復(fù)雜性。N