Why
现在对于企业来说,HTTPS 已经不是可选项,已经成为一个必选项。HTTPS 协议采用SSL协议,采用公开密钥的技术,提供了一套 TCP/IP 传输层数据加密的机制。SSL证书是一种遵守SSL协议的服务器数字证书,一般是由权威机构颁发给网站的可信凭证。SSL证书是有过期时间的限制的,自2020年的9月以后,权威机构颁发的SSL证书的最长有效期被限制在398天以内,也就是说,基本上每个网站都需要每年更新或者替换一次SSL证书,不然证书过期会导致网站无法访问、数据被暴露等各种风险。
根据互联网公开的信息,2018年12月,日本运营商软银数字证书过期导致3060万用户通信故障长达4个多小时;2020年2月,微软协同办公软件Team因证书过期在全球范围内处于宕机瘫痪状态;2020年5月13日,特斯拉因证书过期导致APP出现大面积宕机,导致大部分车主被锁在车外。据《企业数字证书管理安全调查》统计报告,74%的组织都经历过证书过期的停机故障,每个组织的平均损失超过1100万美元。
证书有效期的缩短,增加了证书更新的频率,导致使用加密证书的网站所有者和企业的管理周期变得更加复杂,对许多依赖数字证书保护系统的公司来说,带来很大的证书管理成本,对于SSL证书的管理者来说,建设一套SSL证书有效期的监控巡检系统非常有必要。
How
本文实现的SSL证书有效期监控巡检系统原理比较简单,大致流程如下图所示。本质上就是通过Python脚本获取域名的SSL证书文件,一般来说证书文件内容会包括颁发机构、证书序列号、有效期起始时间、有效期结束时间等信息,获取证书的有效期结束时间后,判断证书是否即将过期,将过期事件推送至观测云,巡检系统配置对应的告警策略,发生事件告警后推送至钉钉群或企微群。
What
下面将会详细介绍如何利用观测云的智能巡检能力帮助企业快速构建一个SSL证书有效期监控巡检系统。
步骤一:安装DataFlux Func
执行以下命令安装 DataFlux Func 平台(func.guance.com),DataFlux Func 是一个基于 Python 的脚本开发、管理、执行平台,可以非常快速方便的帮助我们执行 Python 脚本。
/bin/bash -c "$(curl -fsSL t.guance.com/func-portable-download)"
步骤二:注册观测云
登录观测云官网(www.guance.com)注册观测云,注册完成之后,进入「管理」 -「API Key管理」-「新建 Key」,保留生成的Key ID和Key。
步骤三:运行SSL证书有效期巡检脚本
-
进入步骤一搭建的Func平台,进入「管理」-「实验室」功能,打开「开启脚本市场」和「开启PIP工具模块」
image.png -
进入「管理」-「脚本市场」,点击安装「观测云自建巡检 Core 核心包」
image.png -
进入「管理」-「PIP工具」,输入pyopenssl,点击「安装」
image.png -
进入「开发」-「添加脚本集」,填写ID和标题(此处可按需求随意填写),点击「保存」
image.png -
进入「开发」-「SSL证书有效期监控巡检」-「添加脚本」,填写脚本ID
image.png 复制以下代码到「SSL证书有效期监控巡检」-「main」脚本中,修改
134行和135行的API_KEY_ID和API_KEY为步骤二创建的Key ID和Key,修改12行的domain_list,添加需要巡检的域名,点击右上角「发布」,若需脚本功能,可在编辑状态点击运行
Tips:
- 若需测试脚本过期时间提示功能,可打开81行注释,可自定义证书过期时间
- 若需对接内部域名管理系统,可修改_get_domain_list函数
import arrow
from urllib3.contrib import pyopenssl
from dateutil import parser
from socket import socket
from guance_monitor__cloud_checker import BaseCloudChecker
import guance_monitor__utils as utils
import guance_monitor__event_detail as event_detail
from guance_monitor__register import self_hosted_monitor
from guance_monitor__runner import Runner
domain_list = [
'www.guance.com',
'func.guance.com'
]
class SSLChecker(BaseCloudChecker):
def _get_domain_list(self):
'''
可对接内部域名管理系统
'''
return domain_list
def _get_ssl_detail_data(self, domain, port=443):
try:
connection = pyopenssl.ssl.create_connection((domain, 443))
socket = pyopenssl.ssl.SSLContext(pyopenssl.ssl.PROTOCOL_SSLv23).wrap_socket(connection, server_hostname=domain)
certificate = pyopenssl.ssl.DER_cert_to_PEM_cert(socket.getpeercert(True))
connection.close()
cert_obj = pyopenssl.OpenSSL.crypto.load_certificate(pyopenssl.OpenSSL.crypto.FILETYPE_PEM, certificate)
cert_issue = cert_obj.get_issuer()
return {
'version': cert_obj.get_version() + 1,
'serial_number': cert_obj.get_serial_number(),
'signature_algorithm': cert_obj.get_signature_algorithm().decode('UTF-8'),
'issue': cert_issue.commonName,
'start_date': parser.parse(cert_obj.get_notBefore().decode("UTF-8")),
'expire_date': parser.parse(cert_obj.get_notAfter().decode("UTF-8"))
}
except Exception as e:
print(f'get certificate failed, domain: {domain}, err: {e}')
return None
def _build_event_detail(self, ssl_data, advice, title, content):
event_details = event_detail.Detail()
event_tab = event_detail.Tab(name="事件详情", index=0)
# md section
md_section = event_detail.Section('事件概览', index=0)
md = event_detail.Markdown("")
text_list = [
f'**检测对象**:{ssl_data["域名"]}',
f'**异常描述**:{content}',
f'**操作建议**:{advice}'
]
md.set_text(*text_list)
md_section.add(md)
# 详情section
instance_detail_section = event_detail.Section('异常详情', index=1)
detail_table = event_detail.Table('该域名 SSL 证书的详细信息如下')
detail_table.set_header('属性', '值')
for key, value in ssl_data.items():
detail_table.add_row(key, value)
instance_detail_section.add(detail_table)
event_tab.add(md_section, instance_detail_section)
event_details.add(event_tab)
return event_details
def _check_impl(self, dataway, configs):
events = []
for domain in self._get_domain_list():
ssl_data = self._get_ssl_detail_data(domain)
if ssl_data is None:
continue
start_date = ssl_data['start_date']
expire_date = ssl_data['expire_date']
# 若需测试脚本功能,可修改以下过期时间
# expire_date = '2022-12-06 15:27:00+08:00'
expire_day = (arrow.get(expire_date).to('Asia/Shanghai') - arrow.now()).days
print(expire_day)
show_day = arrow.get(expire_date).to('Asia/Shanghai').humanize(arrow.utcnow(), locale='zh')
if expire_day > 14:
continue
elif 7 < expire_day <= 14:
lever = 'warning'
expired_time = f'预计到期{show_day}'
content = f'发现您有一个域名 SSL 证书还有 {show_day} 过期。'
elif 0 <= expire_day <= 7:
lever = 'critical'
expired_time = f'预计到期{show_day}'
content = f'发现您有一个域名 SSL 证书还有 {show_day} 过期。'
else:
lever = 'critical'
expired_time = f'过期时间{show_day}'
content = f'发现您有一个域名 SSL 证书已经过期。'
expire_advice = '请及时对 SSL 证书进行续费,否则证书过期后会导致您的业务受到影响。'
complete_title = f'{domain} 的 SSL 证书{"即将过期" if expire_day >= 0 else "已经到期"}'
ssl_detail_data = {
'域名': domain,
'证书版本号': ssl_data['version'],
'证书序列号': ssl_data['serial_number'],
'签名算法': ssl_data['signature_algorithm'],
'颁发机构': ssl_data['issue'],
'起始时间': arrow.get(start_date).to('Asia/Shanghai').format('YYYY-MM-DD HH:mm:ss'),
'截止时间': arrow.get(expire_date).to('Asia/Shanghai').format('YYYY-MM-DD HH:mm:ss')
}
event_details = self._build_event_detail(ssl_detail_data, expire_advice, domain, content)
events.append({
'title': complete_title,
'message': f'''
{content}
该域名 SSL 证书的详细信息如下:
  域名:{ssl_detail_data['域名']}
  证书版本号:{ssl_detail_data['证书版本号']}
  证书序列号: {ssl_detail_data['证书序列号']}
  签名算法:{ssl_detail_data['签名算法']}
  颁发机构:{ssl_detail_data['颁发机构']}
  起始时间:{ssl_detail_data['起始时间']}
  截止时间:{ssl_detail_data['截止时间']}
建议:
  {expire_advice}
''',
'status': lever,
'event_detail': event_details.to_json()
})
return events
API_KEY_ID = 'wsak_69ea3***cee'
API_KEY = 'jaZu***I0'
@self_hosted_monitor(API_KEY_ID, API_KEY)
@DFF.API('SSL证书过期时间巡检')
def checker(name=''):
checkers = [
# 配置检测项(目前已支持的检测项见下文)
SSLChecker(),
]
Runner(checkers, debug=False).run()
-
进入「管理」-「自动触发配置」-「新建」,选择「执行函数」,按照实际要求来设置脚本执行频率,以下设置为每天08:00定时触发脚本
image.png
image.png
步骤四:配置智能巡检告警策略
-
进入观测云控制台(console.guance.com),选择「监控」-「通知对象管理」-「新建通知对象」,按照实际要求添加通知对象,以添加钉钉群机器人为例,具体步骤可参考添加页面「更多帮助」
image.png -
进入「监控」-「告警策略管理」-「新建告警策略」,输入「名称」,告警通知对象选择第一步创建的通知对象
image.png 进入「监控」-「智能巡检」,点击修改「SSL证书过期时间巡检」,「告警策略」选择第二步创建的告警策略
Tips:步骤三的脚本至少要运行一次才会有SSL证书过期时间巡检这个选项
image.png
效果展示
-
通过观测云「事件」,可以对SSL证书过期事件进行管理
image.png
image.png
image.png
image.png -
告警推送效果
image.png
总结
本文重点介绍如何利用现有平台的能力快速帮助构建企业级的SSL证书有效期监控巡检系统。除此之外,观测云本身也可以支持接入指标、链路和日志等可观测性数据,并且可以对这些数据进行统一的标签处理,控制台可实现可观测性数据的互相关联打通,方便运维、研发和测试团队从一个平面理解系统运行情况,可大大提升软件开发交付的效率。
关于作者
Harlon,大厂多年监控系统开发经验,目前专注于云原生可观测性领域,欢迎交流~
