快速实现一个企业级域名 SSL 证书有效期监控巡检系统

Why

现在对于企业来说,HTTPS 已经不是可选项,已经成为一个必选项。HTTPS 协议采用 SSL 协议,采用公开密钥的技术,提供了一套 TCP/IP 传输层数据加密的机制。SSL 证书是一种遵守 SSL 协议的服务器数字证书,一般是由权威机构颁发给网站的可信凭证。SSL 证书是有过期时间的限制的,从 2020 年的 9 月以后,权威机构颁发的 SSL 证书的最长有效期被限制在 398 天以内,也就是说,基本上每个网站都需要每年更新或者替换一次 SSL 证书,不然证书过期会导致网站无法访问、数据被暴露等各种风险。

根据互联网公开的信息,2018 年 12 月,日本运营商软银数字证书过期导致 3060 万用户通信故障长达 4 个多小时;2020 年 2 月,微软协同办公软件 Team 因证书过期在全球范围内处于宕机瘫痪状态;2020 年 5 月 13 日,特斯拉因证书过期导致 APP 出现大面积宕机,导致大部分车主被锁在车外。据《企业数字证书管理安全调查》统计报告,74% 的组织都经历过证书过期的停机故障,每个组织的平均损失超过 1100 万美元。

证书有效期的缩短,增加了证书更新的频率,导致使用加密证书的网站所有者和企业的管理周期变得更加复杂,对许多依赖数字证书保护系统的公司来说,带来很大的证书管理成本,对于 SSL 证书的管理者来说,建设一套 SSL 证书有效期的监控巡检系统非常有必要。

How

本文实现的 SSL 证书有效期监控巡检系统原理比较简单,大致流程如下图所示。本质上就是通过 Python 脚本获取域名的 SSL 证书文件,一般来说证书文件内容会包括颁发机构、证书序列号、有效期起始时间、有效期结束时间等信息,获取证书的有效期结束时间后,判断证书是否即将过期,将过期事件推送至观测云(www.guance.com),巡检系统配置对应的告警策略,发生事件告警后推送至钉钉群或企微群。

What

下面将会详细介绍如何利用观测云(www.guance.com)的智能巡检能力帮助企业快速构建一个 SSL 证书有效期监控巡检系统。

前提条件:注册观测云

登录观测云官网(www.guance.com)注册观测云。

步骤一:安装或开通 DataFlux Func

DataFlux Func (func.guance.com)是一个基于 Python 的脚本开发、管理、执行平台,可以非常快速方便的帮助我们执行 Python 脚本。

执行以下命令安装 DataFlux Func 平台。

/bin/bash -c "$(curl -fsSL func.guance.com/portable-download)" -- --for=GSE

或者登录到在观测云控制台「集成」-「扩展」,开通「DataFlux Func 托管版」。

步骤二:获取 API Key

在观测云控制台「管理」 -「API Key 管理」-「新建 Key」,保留生成的 Key ID 和 Key 。

步骤三:运行 SSL 证书有效期巡检脚本

1.进入步骤一搭建的 Func 平台,进入「管理」-「实验室」功能,「开启 PIP 工具模块」。

2.进入「管理」-「PIP 工具」,输入 pyopenssl,点击「安装」。

3.进入「脚本市场」-「官方脚本市场」,搜索并安装「观测云自建巡检 Core 核心包」。

4.进入「开发」-「新建脚本集」,填写 ID 和标题(此处可按需求随意填写),点击「保存」。

5.进入「开发」-「SSL证书有效期监控巡检」-「新建脚本」,填写脚本 ID。

6.复制以下代码到「SSL 证书有效期监控巡检」-「main」脚本中,修改 133 行和 134 行的 API_KEY_ID 和 API_KEY 为步骤二创建的 Key ID 和 Key ,修改 12 行的 domain_list,添加需要巡检的域名,点击右上角「发布」,若需脚本功能,可在编辑状态点击运行。

import arrow
from urllib3.contrib import pyopenssl
from dateutil import parser
from socket import socket

from guance_monitor__cloud_checker import BaseCloudChecker
import guance_monitor__utils as utils
import guance_monitor__event_detail as event_detail
from guance_monitor__register import self_hosted_monitor
from guance_monitor__runner import Runner

domain_list = [
    'www.guance.com',
    'func.guance.com'
]

class SSLChecker(BaseCloudChecker):
    def _get_domain_list(self):
        '''
        可对接内部域名管理系统
        '''
        return domain_list

    def _get_ssl_detail_data(self, domain, port=443):
        try:
            connection = pyopenssl.ssl.create_connection((domain, 443))
            socket = pyopenssl.ssl.SSLContext(pyopenssl.ssl.PROTOCOL_SSLv23).wrap_socket(connection, server_hostname=domain)
            certificate = pyopenssl.ssl.DER_cert_to_PEM_cert(socket.getpeercert(True))
            connection.close()
            cert_obj = pyopenssl.OpenSSL.crypto.load_certificate(pyopenssl.OpenSSL.crypto.FILETYPE_PEM, certificate)
            cert_issue = cert_obj.get_issuer()
            return {
                'version': cert_obj.get_version() + 1,
                'serial_number': cert_obj.get_serial_number(),
                'issue': cert_issue.commonName,
                'start_date': parser.parse(cert_obj.get_notBefore().decode("UTF-8")),
                'expire_date': parser.parse(cert_obj.get_notAfter().decode("UTF-8"))
            }
        except Exception as e:
            print(f'get certificate failed, domain: {domain}, err: {e}')
            return None

    def _build_event_detail(self, ssl_data, advice, title, content):
        event_details = event_detail.Detail()
        event_tab = event_detail.Tab(name="事件详情", index=0)

        # md section
        md_section = event_detail.Section('事件概览', index=0)
        md = event_detail.Markdown("")
        text_list = [
            f'**检测对象**:{ssl_data["域名"]}',
            f'**异常描述**:{content}',
            f'**操作建议**:{advice}'
        ]
        md.set_text(*text_list)
        md_section.add(md)

        # 详情section
        instance_detail_section = event_detail.Section('异常详情', index=1)
        detail_table = event_detail.Table('该域名 SSL 证书的详细信息如下')
        detail_table.set_header('属性', '值')
        for key, value in ssl_data.items():
            detail_table.add_row(key, value)
        instance_detail_section.add(detail_table)

        event_tab.add(md_section, instance_detail_section)
        event_details.add(event_tab)

        return event_details

    def _check_impl(self, dataway, configs):
        events = []
        for domain in self._get_domain_list():
            ssl_data = self._get_ssl_detail_data(domain)
            if ssl_data is None:
                continue
            start_date = ssl_data['start_date']
            expire_date = ssl_data['expire_date']
            # 若需测试脚本功能,可修改以下过期时间
            # expire_date = '2022-12-06 15:27:00+08:00'
            expire_day = (arrow.get(expire_date).to('Asia/Shanghai') - arrow.now()).days
            print(expire_day)
            show_day = arrow.get(expire_date).to('Asia/Shanghai').humanize(arrow.utcnow(), locale='zh')

            if expire_day > 14:
                continue
            elif 7 < expire_day <= 14:
                lever = 'warning'
                expired_time = f'预计到期{show_day}'
                content = f'发现您有一个域名 SSL 证书还有 {show_day} 过期。'
            elif 0 <= expire_day <= 7:
                lever = 'critical'
                expired_time = f'预计到期{show_day}'
                content = f'发现您有一个域名 SSL 证书还有 {show_day} 过期。'
            else:
                lever = 'critical'
                expired_time = f'过期时间{show_day}'
                content = f'发现您有一个域名 SSL 证书已经过期。'

            expire_advice = '请及时对 SSL 证书进行续费,否则证书过期后会导致您的业务受到影响。'
            complete_title = f'{domain} 的 SSL 证书{"即将过期" if expire_day >= 0 else "已经到期"}'
            ssl_detail_data = {
                '域名': domain,
                '证书版本号': ssl_data['version'],
                '证书序列号': ssl_data['serial_number'],
                '颁发机构': ssl_data['issue'],
                '起始时间': arrow.get(start_date).to('Asia/Shanghai').format('YYYY-MM-DD HH:mm:ss'),
                '截止时间': arrow.get(expire_date).to('Asia/Shanghai').format('YYYY-MM-DD HH:mm:ss')
            }

            event_details = self._build_event_detail(ssl_detail_data, expire_advice, domain, content)

            events.append({
                'title': complete_title,
                'message': f'''
                    {content}
                    该域名 SSL 证书的详细信息如下:
                        &emsp;&emsp;域名:{ssl_detail_data['域名']}
                        &emsp;&emsp;证书版本号:{ssl_detail_data['证书版本号']}
                        &emsp;&emsp;证书序列号: {ssl_detail_data['证书序列号']}
                        &emsp;&emsp;颁发机构:{ssl_detail_data['颁发机构']}
                        &emsp;&emsp;起始时间:{ssl_detail_data['起始时间']}
                        &emsp;&emsp;截止时间:{ssl_detail_data['截止时间']}
                    建议:
                        &emsp;&emsp;{expire_advice}
                ''',
                'status': lever,
                'event_detail': event_details.to_json()
            })
        return events


API_KEY_ID = 'wsak_69ea3***cee'
API_KEY = 'jaZu***I0'

@self_hosted_monitor(API_KEY_ID, API_KEY)
@DFF.API('SSL证书过期时间巡检')
def checker(name=''):
    checkers = [
        # 配置检测项(目前已支持的检测项见下文)
        SSLChecker(),
    ]
    Runner(checkers, debug=False).run()

Tips:

  • 若需测试脚本过期时间提示功能,可打开 80 行注释,可自定义证书过期时间,点击「执行」可测试脚本查看结果
  • 若需对接内部域名管理系统,可修改 _get_domain_list 函数

7.进入「管理」-「自动触发配置」-「新建」,选择「执行函数」,按照实际要求来设置脚本执行频率,以下设置为每天 08:00 定时触发脚本

步骤四:配置智能巡检告警策略

1.进入观测云控制台(console.guance.com),选择「监控」-「通知对象管理」-「新建通知对象」,按照实际要求添加通知对象,具体步骤可参考添加页面「更多帮助」。

2.进入「监控」-「告警策略管理」-「新建告警策略」,输入「名称」,告警通知对象选择第一步创建的通知对象。

3.进入「监控」-「智能巡检」,点击修改「SSL 证书过期时间巡检」,「告警策略」选择第二步创建的告警策略。

Tips:步骤三的脚本至少要运行一次才会有 SSL 证书过期时间巡检这个选项

效果展示

  • 通过观测云「事件」,可以对 SSL 证书过期事件进行管理

  • 告警推送效果

总结

这篇文章重点介绍如何利用现有平台的能力快速帮助构建企业级的 SSL 证书有效期监控巡检系统。除此之外,观测云本身也可以支持接入指标、链路和日志等可观测性数据,并且可以对这些数据进行统一的标签处理,控制台可实现可观测性数据的互相关联打通,方便运维、研发和测试团队从一个平面理解系统运行情况,可大大提升软件开发交付的效率。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/119683.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

随笔--解决ubuntu虚拟环境的依赖问题

文章目录 问题一&#xff1a;在conda虚拟环境中报错ImportError: libcupti.so.11.7:cannot open shared object file: No such file or directory解决步骤问题二&#xff1a; RuntimeError: CUDA error: CUBLAS_STATUS_INVALID_VALUE when calling cublasSgemmStridedBatched( …

初识Java 17-2 反射

目录 转型前检查 构建例子&#xff1a;生成层次结构 优化Creator&#xff1a;使用类字面量 优化PetCounter&#xff1a;动态验证类型 更通用的递归计数 注册工厂 本笔记参考自&#xff1a; 《On Java 中文版》 转型前检查 当我们使用传统的类型转换&#xff0c;例如&…

【服务器】Java连接redis及使用Java操作redis、使用场景

一、Java连接redis-No-SQL 1、导入依赖 在你的项目里面导入redis的pom依赖 <dependency><groupId>redis.clients</groupId><artifactId>jedis</artifactId><version>2.9.0</version> </dependency> 2、连接redis 连接redis …

JavaEE-博客系统2(功能设计)

本部分内容&#xff1a;实现博客列表页&#xff1b;web程序问题的分析方法&#xff1b;实现博客详情页&#xff1b; 该部分的代码如下&#xff1a; WebServlet("/blog") public class BlogServlet extends HttpServlet {//Jackson ObjectMapper类(com.fasterxml.jac…

基于计算机视觉的身份证识别系统 计算机竞赛

0 前言 &#x1f525; 优质竞赛项目系列&#xff0c;今天要分享的是 基于机器视觉的身份证识别系统 该项目较为新颖&#xff0c;适合作为竞赛课题方向&#xff0c;学长非常推荐&#xff01; &#x1f9ff; 更多资料, 项目分享&#xff1a; https://gitee.com/dancheng-sen…

编程未来规划笔记

编程思考 Python 自动化办公、深度学习、自然语言处理&#xff08;调用各种库&#xff09; Html Css 写网页 学习不要怕忘 为什么学的快、忘得快 Google、写代码、放文档 高度提炼 学什么&#xff1b;存在的意义是什么 更好的拓展性&#xff1b;可维护性 实践 原理 顶层设计…

第二章: 创建第一个Spring Boot 应用

第二章: 创建第一个Spring Boot 应用 前言 本章重点知识:构建你的第一个Spring Boot应用:以一个简单的例子来引导你进入Spring Boot的开发,包括如何使用Spring Initializr来创建项目,以及如何使用Maven或Gradle构建和运行项目等 IntelliJ IDEA 开发工具中安装 Spring Init…

2023-11-7 OpenAI 45 分钟发布会:演示关于 GPT Store 构建 GPT、零代码创建 AI Agent

本心、输入输出、结果 文章目录 2023-11-7 OpenAI 45 分钟发布会&#xff1a;演示关于 GPT Store 构建 GPT、零代码创建 AI Agent前言Sam Altman 正在创建一个「创业导师 GPT」零代码创建 AI AgentAssistants API 封装的能力包括 Sam Altman 对发布会总结相关链接弘扬爱国精神 …

如何选择SVM中最佳的【核函数】

参数“kernel"在sklearn中可选以下几种 选项&#xff1a; 接下来我们 就通过一个例子&#xff0c;来探索一下不同数据集上核函数的表现。我们现在有一系列线性或非线性可分的数据&#xff0c;我们希望通过绘制SVC在不同核函数下的决策边界并计算SVC在不同核函数下分类准确…

Python和BeautifulSoup库的魔力:解析TikTok视频页面

概述 短视频平台如TikTok已成为信息传播和电商推广的重要渠道。用户通过短视频分享生活、创作内容&#xff0c;吸引了数以亿计的观众&#xff0c;为企业和创作者提供了广阔的市场和宣传机会。然而&#xff0c;要深入了解TikTok上的视频内容以及用户互动情况&#xff0c;需要借…

Kubernetes 准入控制

Author&#xff1a;rab 目录 前言一、限制范围二、配置案例2.1 名称空间 CPU 与内存约束2.1.1 CPU 约束2.1.2 内存约束2.1.3 默认 CPU 申请约束2.1.4 默认内存申请约束 2.2 名称空间总容量限额约束 总结 前言 LimitRange 是限制命名空间内可为每个适用的对象类别 &#xff08;…

Android View 触摸反馈原理浅析

重写OnTouchEvent() 然后在方法内部写触摸算法 返回true,表示消费事件,所有触摸反馈不再生效,返回事件所有权 if (event.actionMasked MotionEvent.ACTION_UP){performClick()//抬起事件 执行performClick 触发点击 }override fun onTouchEvent(event: MotionEvent): Boolea…

代码随想录算法训练营第四十四天丨 动态规划part07

70. 爬楼梯 思路 这次讲到了背包问题 这道题目 我们在动态规划&#xff1a;爬楼梯 (opens new window)中已经讲过一次了&#xff0c;原题其实是一道简单动规的题目。 既然这么简单为什么还要讲呢&#xff0c;其实本题稍加改动就是一道面试好题。 改为&#xff1a;一步一个…

【代码随想录】算法训练营 第十五天 第六章 二叉树 Part 2

102. 二叉树的层序遍历 层序遍历&#xff0c;就是一层一层地遍历二叉树&#xff0c;最常见的就是从上到下&#xff0c;从左到右来遍历&#xff0c;遍历的方法依然有两种&#xff0c;第一种是借助队列&#xff0c;第二种则是递归&#xff0c;都算是很简单、很容易理解的方法&am…

VLAN与配置

VLAN与配置 什么是VLAN 以最简单的形式为例。如下图&#xff0c;此时有4台主机处于同一局域网中&#xff0c;很明显这4台主机是能够直接通讯。但此时我需要让处于同一局域网中的PC3和PC4能通讯&#xff0c;PC5和PC6能通讯&#xff0c;并且PC3和PC4不能与PC5和PC6通讯。 为了实…

图论——并查集

参考内容&#xff1a; 图论——并查集(详细版) 并查集&#xff08;Disjoint-set&#xff09;是一种精巧的树形数据结构&#xff0c;它主要用于处理一些不相交集合的合并及查询问题。一些常见用途&#xff0c;比如求联通子图、求最小生成树的 Kruskal 算法和求最近公共祖先&…

测试接触不到第一手需求,如何保证不漏测?

测试接触不到第一手需求&#xff0c;了解到的需求都是分解过的需求&#xff0c;该怎么做才能保证不漏测&#xff1f; 这个问题还是挺普遍的。因为随着分工越来越精细&#xff0c;每个人可能只能接触到全局的一部分&#xff0c;再加上信息传递过程中的信息丢失&#xff0c;就很…

bootstrap3简单玩法

Bootstrap v3 Bootstrap v3 是一个流行的前端框架&#xff0c;它提供了一系列的模板、组件和工具&#xff0c;可以帮助开发者快速地构建响应式的网站和应用程序。 以下是 Bootstrap v3 的一些常见应用&#xff1a; 响应式布局&#xff1a;Bootstrap v3 提供了一个易于使用的网…

1.性能优化

概述 今日目标&#xff1a; 性能优化的终极目标是什么压力测试压力测试的指标 性能优化的终极目标是什么 用户体验 产品设计(非技术) 系统性能(快&#xff0c;3秒不能更久了) 后端&#xff1a;RT,TPS,并发数 影响因素01&#xff1a;数据库读写&#xff0c;RPC&#xff…

未来已来,“码”上见证---通义灵码

为了撰写一份关于通义灵码的产品测评&#xff0c;我将构建一个基于提供的产品介绍和评测内容要求的框架给大家介绍这款产品。 功能使用维度 代码智能生成 使用场景&#xff1a;开发中遇到需要编写新功能、单元测试、或对现有代码进行注释时。 使用效果&#xff1a;预期通义灵…