實施SSL證書的生命周期管理

引言：所有SSL數字證書的壽命都有限，并且在到期后就不再合法。在最低限度上，證書需要在其壽終正寢時被替換，以避免服務中斷或降低安全性。但是，在很多情況下，證書需要更早地被替換。

所有SSL數字證書的壽命都有限，并且在到期后就不再合法。證書有不同的合法周期，并且根據公司策略和成本問題，證書的到期時間常被設置為從一到三年不等。

在最低限度上，證書需要在其壽終正寢時被替換，以避免服務中斷或降低安全性。但是，在很多情況下，證書需要更早地被替換（例如，“心臟出血”漏洞、公司合并、公司策略發生變更，等等）。

考慮到SSL證書的有限壽命及其在企業中的廣泛使用，我們可以找到管理SSL證書生命周期的很多原因。對于不依賴人工過程和工具的SSL證書來說，精確記錄是極其關鍵的。

本文還要使企業認識實現證書管理的規范化，使證書生命周期過程實現自動管理，能夠實現更好的監管和控制，降低成本，提高效率，降低安全風險。

證書管理差強人意

雖然SSL證書最常見的使用是，顯示在以交易業務為主的網站上用以保護用戶和付款信息的“瀏覽器鎖定”圖標，但SSL證書還可用于保證擁有關鍵業務企業的基礎架構組件的安全性。

例如，雇員和合伙人使用VPN來訪問敏感信息，而后端系統依賴SSL證書來保障遠程訪問的安全。事實上，所有基于瀏覽器的云服務都要求依靠SSL證書來傳送客戶的賬戶信息、業務合伙人的業務、庫存狀態、時間跟蹤及許多其它的使用。

在企業內部部署得最多的雇員效率提升工具和應用（例如，銷售報價和文檔庫）也要依賴SSL的安全性。而且其使用不限于基于瀏覽器的安全。

SSL證書還被用于保障服務器到服務器的通信（實現應用程序和數據的交換）安全。

由于SSL證書的這種廣泛使用，不正確配置的證書或到期的證書都有可能帶來災難性后果。

如果SSL證書無法正常工作，企業不僅會喪失收入并使客戶的信心面臨風險，而且雇員和企業合伙人也可能無法正常工作。暴露機密信息的風險會極大增加，并且有可能導致經濟損失，或因不合規而遭受懲罰。

因而，管理企業復雜網絡中的SSL證書以確保實現保護和防止意外問題對所有企業來說都是非常必要的。

實施證書的生命周期管理正當時

雖然確保SSL證書的正確實施非常關鍵，但是管理大型企業中的每一個獨立的證書并非易事。由于企業位置和部門的多重性，以及外部的基于云的服務的不斷快速增長，管理變得更加困難。

除增加了復雜性，管理的成本也很高。思科（Cisco）曾估計，在實施證書的生命周期管理之前，企業管理每個證書大約需要花費四個小時。根據這種情況來分析，管理一個證書要比最初購買證書的成本還要高。

由于許多企業都利用多種管理方法（這些方法往往根據部門和功能而變化，并且往往是特定的和人工的），因而要防止出問題就變得更困難。

利用生命周期管理系統可以確保一種一致性的管理方法，并且支持自動化，因而會提高效率和SSL證書管理的效力。

雖然，為了部署新的或維護已有的應用程序，以防止與不正確實施證書配置和證書到期而帶來的有關問題，企業需要進行大量管理工作，但是企業中重大變化和計劃外的事件都可能極大增加時間、成本、安全風險。

典型的運營變化，例如數據中心內部的遷移、私有云和公有云的引入、企業并購等，都會給分散的人工管理過程帶來很大壓力。

同樣地，使用非集中化的和人工的管理系統，幾乎無法響應一些要求快速更換證書的預料之外的事件（例如，心臟出血漏洞，SHA-1哈希的快速終結）。

什么是證書的生命周期？

如上所述，SSL證書并不是安裝完畢后就可以運行的“常青樹”，而是有著有限的生命周期且不允許以軟件同樣的方式進行更新。SSL證書具備如下特征，在綜合考慮時要求進行如下管理：

發布：企業應從可信的廠商購買證書，并確保部署內部審批和行政監督到位。

詳細清單：要記錄關于證書類型、部署、到期時間，以及負責證書管理的人員和部門等信息。

監視：持續地監視上述清單，確保其滿足當前的合規要求。

更新：證書的所有者應當跟蹤到期時間，在到期之前替換證書，并且驗證正確的證書安裝。

退役：到期的證書狀態應記錄為“不再服務”或“已更新”，或者能夠在需要時提早撤消。

解決SSL證書的管理難題

如果企業沒有適當的證書生命周期管理，就會在如下的一個或幾個階段存在局限性（但通過證書生命周期管理卻能夠解決）：

在證書的發行階段，如果沒有生命周期管理，則會存在多個雜亂的界面和認證機制；如果有了管理，就可以使用一個獨立的常見界面和授權機制。

在證書清查階段，如果沒有證書的生命周期管理，清查結果或清查清單就會受到在發布階段所收集信息的限制，清單往往陳舊且不充分；如果企業采用了生命周期管理，就可以通過自動系統使證書信息持續地更新。

在監視階段，在沒有采用生命周期管理方案時，證書容易在系統中迷失，到期且引起收入和信譽的損失；如果采用生命周期管理，可定制的電子郵件通知就可以在證書的生命周期期間，在多個點上向用戶發出警告信息，從而確保用戶不會忽視任何重要問題。

在更新階段，在不采用證書生命周期管理時，由于受到上一階段的電子郵件通知的限制，企業無法驗證證書的安裝；而通過實施生命周期管理，企業就可以創建一種閉合的過程，并且可以驗證證書的安裝。

在證書的退役階段，在沒有生命周期管理時，根本談不到正式的退役；如果采用生命周期管理，證書都可以正式地更新或退役。

六步曲

1，開始掃描

即掃描整個環境：掃描所有應用程序，掃描所有的域和證書。

首先，企業需要了解SSL證書在哪里，只有這樣才能深入地理解在企業中部署的所有SSL證書。這對于保障在線業務和通信安全至關重要，當然對于確保后端操作和應用的安全也生死攸關。

即使企業已經具備了證書管理服務和許可過程，多數CA發現工具也只能發現由此CA發行的SSL證書或此類型的證書。在這種情況下，審計就會遺漏未許可購買的證書（往往是那些管理員應當關注的證書）。

管理者必須確認企業正在使用一種通用的能夠發現所有證書的證書發現工具。這種發現工具還應當驗證是否SSL證書都已經正確地安裝。購買一種通用的證書發現工具最終會節省時間、減少風險，并且可以簡化審計過程。徹底的審計有助于確定企業對額外的一些工具以及策略和過程改進的需要。

2，開始整合

即將所有證書整合到一個集中管理的系統中。

隨著公有和私有云服務的使用，以及應用和平臺的增加，對SSL證書的需要也相應增加；這反過來會增加不同SSL證書類型的管理員和賬戶的數量。如果企業沒有單一的控制點，對這些的管理就會變得捉襟見肘。

企業有可能從多個不同的廠商購得了不同加密強度和認證水平的SSL證書，并且每個證書都有自己的管理控制臺。

基于審計結果，企業會掌握評估環境中SSL使用的更完整的信息。這有助于確認那些存在“孤島”和“碎片”的地方，可以使管理員將證書管理整合到單獨的一個管理賬戶實現更好的控制。

企業應建立單獨的一個主要賬戶用于日后的工作。隨著當前的證書到期，企業就可以用來自最重要的可管理賬戶（它支持所有證書類型）的證書來替換它。

3，建立一個過程

此過程就是定義一個企業范圍內用于監視和控制策略的管理過程。

首先，要確認誰負責證書管理，哪些人可以得到授權和對證書管理進行操作。

定義管理員、管理員的請求者、批準者以及企業內部要求的任何其它角色，這樣做可以使得部署管理過程更簡單。企業工作流程的設計應當簡化管理，并且避免瓶頸或死胡同。要考慮哪些人有哪些特權，用戶如何登記注冊以及哪些人可以接收哪些類型的通知。

利用基于角色的訪問和靈活實時的特權分配有助于強化管理過程，并可以根據用戶的角色和企業特征和性質來使用戶管理證書。審計日志應當記錄與每個已發布證書有關聯的所有管理員的活動，并且還可用于發現任何違反策略的情況。

4，保持警惕

企業應建立警告和報告，用以監視證書清單。企業需要能夠根據權威信息和當前信息來對證書問題發出通知，通過一個可行的過程來解決證書問題。

企業應實時地將迫近的關鍵證書的到期作為事件，以防止服務中斷。依靠不完整的人工報告中的靜態信息（如警告日志）無法滿足要求。

企業應搭建證書管理平臺，以便于更好地管理時間和資源，并且運行動態的實時的報告，根據證書的狀態（例如，所有的證書請求、合法性、已撤銷、到期）顯示整個企業中實際的SSL證書清單。企業定期發布更新報告可以幫助管理員計劃SSL證書的更新，并防止服務中斷。

在證書快要到期卻沒有采取任何行動時，這些報告應提供一個發布清單，實現失效轉移和下一步行動。歷史報告可以使管理員觀察過去的使用，用于未來的計劃和管理。企業還應當經常運行SSL服務器測試。這種網絡服務對互聯網上的任何SSL web服務器的配置進行深入分析。

5，撤消和替換

集中化的證書清查和管理工具結合證書的發行周期、密鑰強度、驗證類型等方面的策略，可以使得撤消和替換證書更輕松。這種系統和過程既支持常規的更新和替換，也支持非常規的情況。

例如，在服務器離線、被移動或替換時，管理員應當訪問一個管理系統，采取行動，撤銷SSL證書，或者在必要時替換SSL證書。這類系統還支持諸如“心臟出血”漏洞的修復等情形。

在發生私鑰丟失的事件中，或者如果服務器崩潰且證書被刪除，管理員應當能夠撤銷證書并且發布一個代替證書。

6，持續發現和監視

企業要通過已建立的過程進行持續地發現和監視。如果企業部署了多余的證書，就會帶來持續的威脅，將企業置于風險之中。

常見的情形包括某人合理地獲得了測試或開發環境中的證書，或者一個外部廠商部署了一個未經認證的證書，或者惡意用戶為自己的利益安裝多余的證書。

企業應利用發現和SSL服務器的測試工具來持續地監視和掃描環境，從而確保整個過程的完整性，并防止服務中斷和安全風險。對照規范和其它策略定期檢查當前的做法，確保整個過程隨著行業標準、合規要求、新的威脅載體、技術更新和業務目標而演變。

結束語

企業通過利用由獨立的全面SSL證書管理方法支持的證書生命周期過程，就可以獲得企業范圍內的可見性并確保企業的安全。

這種方案的關鍵組件是SSL證書管理系統的使用，它支持過程驅動，可以簡化SSL證書的發現和監視，并可以使證書的更新和遷移實現自動化。

有效的SSL證書管理方案可以使企業明確自己的證書種類，幫助企業及時地更新證書，并且管理多個不同廠商之間的證書。

生命周期管理系統的實施最終可以使響應安全事件的靈活性，執行更新（，防止服務中斷并保持合規。這種有效的方法可以減少總成本，也可以減少在一個分布式環境中管理SSL證書的復雜性。N