快速实现一个企业级域名 SSL 证书有效期监控巡检系统

Why

现在对于企业来说,HTTPS 已经不是可选项,已经成为一个必选项。HTTPS 协议采用 SSL 协议,采用公开密钥的技术,提供了一套 TCP/IP 传输层数据加密的机制。SSL 证书是一种遵守 SSL 协议的服务器数字证书,一般是由权威机构颁发给网站的可信凭证。SSL 证书是有过期时间的限制的,从 2020 年的 9 月以后,权威机构颁发的 SSL 证书的最长有效期被限制在 398 天以内,也就是说,基本上每个网站都需要每年更新或者替换一次 SSL 证书,不然证书过期会导致网站无法访问、数据被暴露等各种风险。

根据互联网公开的信息,2018 年 12 月,日本运营商软银数字证书过期导致 3060 万用户通信故障长达 4 个多小时;2020 年 2 月,微软协同办公软件 Team 因证书过期在全球范围内处于宕机瘫痪状态;2020 年 5 月 13 日,特斯拉因证书过期导致 APP 出现大面积宕机,导致大部分车主被锁在车外。据《企业数字证书管理安全调查》统计报告,74% 的组织都经历过证书过期的停机故障,每个组织的平均损失超过 1100 万美元。

证书有效期的缩短,增加了证书更新的频率,导致使用加密证书的网站所有者和企业的管理周期变得更加复杂,对许多依赖数字证书保护系统的公司来说,带来很大的证书管理成本,对于 SSL 证书的管理者来说,建设一套 SSL 证书有效期的监控巡检系统非常有必要。

How

本文实现的 SSL 证书有效期监控巡检系统原理比较简单,大致流程如下图所示。本质上就是通过 Python 脚本获取域名的 SSL 证书文件,一般来说证书文件内容会包括颁发机构、证书序列号、有效期起始时间、有效期结束时间等信息,获取证书的有效期结束时间后,判断证书是否即将过期,将过期事件推送至观测云(www.guance.com),巡检系统配置对应的告警策略,发生事件告警后推送至钉钉群或企微群。

What

下面将会详细介绍如何利用观测云(www.guance.com)的智能巡检能力帮助企业快速构建一个 SSL 证书有效期监控巡检系统。

前提条件:注册观测云

登录观测云官网(www.guance.com)注册观测云。

步骤一:安装或开通 DataFlux Func

DataFlux Func (func.guance.com)是一个基于 Python 的脚本开发、管理、执行平台,可以非常快速方便的帮助我们执行 Python 脚本。

执行以下命令安装 DataFlux Func 平台。

/bin/bash -c "$(curl -fsSL func.guance.com/portable-download)" -- --for=GSE

或者登录到在观测云控制台「集成」-「扩展」,开通「DataFlux Func 托管版」。

步骤二:获取 API Key

在观测云控制台「管理」 -「API Key 管理」-「新建 Key」,保留生成的 Key ID 和 Key 。

步骤三:运行 SSL 证书有效期巡检脚本

1.进入步骤一搭建的 Func 平台,进入「管理」-「实验室」功能,「开启 PIP 工具模块」。

2.进入「管理」-「PIP 工具」,输入 pyopenssl,点击「安装」。

3.进入「脚本市场」-「官方脚本市场」,搜索并安装「观测云自建巡检 Core 核心包」。

4.进入「开发」-「新建脚本集」,填写 ID 和标题(此处可按需求随意填写),点击「保存」。

5.进入「开发」-「SSL证书有效期监控巡检」-「新建脚本」,填写脚本 ID。

6.复制以下代码到「SSL 证书有效期监控巡检」-「main」脚本中,修改 133 行和 134 行的 API_KEY_ID 和 API_KEY 为步骤二创建的 Key ID 和 Key ,修改 12 行的 domain_list,添加需要巡检的域名,点击右上角「发布」,若需脚本功能,可在编辑状态点击运行。

import arrow
from urllib3.contrib import pyopenssl
from dateutil import parser
from socket import socketfrom guance_monitor__cloud_checker import BaseCloudChecker
import guance_monitor__utils as utils
import guance_monitor__event_detail as event_detail
from guance_monitor__register import self_hosted_monitor
from guance_monitor__runner import Runnerdomain_list = ['www.guance.com','func.guance.com'
]class SSLChecker(BaseCloudChecker):def _get_domain_list(self):'''可对接内部域名管理系统'''return domain_listdef _get_ssl_detail_data(self, domain, port=443):try:connection = pyopenssl.ssl.create_connection((domain, 443))socket = pyopenssl.ssl.SSLContext(pyopenssl.ssl.PROTOCOL_SSLv23).wrap_socket(connection, server_hostname=domain)certificate = pyopenssl.ssl.DER_cert_to_PEM_cert(socket.getpeercert(True))connection.close()cert_obj = pyopenssl.OpenSSL.crypto.load_certificate(pyopenssl.OpenSSL.crypto.FILETYPE_PEM, certificate)cert_issue = cert_obj.get_issuer()return {'version': cert_obj.get_version() + 1,'serial_number': cert_obj.get_serial_number(),'issue': cert_issue.commonName,'start_date': parser.parse(cert_obj.get_notBefore().decode("UTF-8")),'expire_date': parser.parse(cert_obj.get_notAfter().decode("UTF-8"))}except Exception as e:print(f'get certificate failed, domain: {domain}, err: {e}')return Nonedef _build_event_detail(self, ssl_data, advice, title, content):event_details = event_detail.Detail()event_tab = event_detail.Tab(name="事件详情", index=0)# md sectionmd_section = event_detail.Section('事件概览', index=0)md = event_detail.Markdown("")text_list = [f'**检测对象**:{ssl_data["域名"]}',f'**异常描述**:{content}',f'**操作建议**:{advice}']md.set_text(*text_list)md_section.add(md)# 详情sectioninstance_detail_section = event_detail.Section('异常详情', index=1)detail_table = event_detail.Table('该域名 SSL 证书的详细信息如下')detail_table.set_header('属性', '值')for key, value in ssl_data.items():detail_table.add_row(key, value)instance_detail_section.add(detail_table)event_tab.add(md_section, instance_detail_section)event_details.add(event_tab)return event_detailsdef _check_impl(self, dataway, configs):events = []for domain in self._get_domain_list():ssl_data = self._get_ssl_detail_data(domain)if ssl_data is None:continuestart_date = ssl_data['start_date']expire_date = ssl_data['expire_date']# 若需测试脚本功能,可修改以下过期时间# expire_date = '2022-12-06 15:27:00+08:00'expire_day = (arrow.get(expire_date).to('Asia/Shanghai') - arrow.now()).daysprint(expire_day)show_day = arrow.get(expire_date).to('Asia/Shanghai').humanize(arrow.utcnow(), locale='zh')if expire_day > 14:continueelif 7 < expire_day <= 14:lever = 'warning'expired_time = f'预计到期{show_day}'content = f'发现您有一个域名 SSL 证书还有 {show_day} 过期。'elif 0 <= expire_day <= 7:lever = 'critical'expired_time = f'预计到期{show_day}'content = f'发现您有一个域名 SSL 证书还有 {show_day} 过期。'else:lever = 'critical'expired_time = f'过期时间{show_day}'content = f'发现您有一个域名 SSL 证书已经过期。'expire_advice = '请及时对 SSL 证书进行续费,否则证书过期后会导致您的业务受到影响。'complete_title = f'{domain} 的 SSL 证书{"即将过期" if expire_day >= 0 else "已经到期"}'ssl_detail_data = {'域名': domain,'证书版本号': ssl_data['version'],'证书序列号': ssl_data['serial_number'],'颁发机构': ssl_data['issue'],'起始时间': arrow.get(start_date).to('Asia/Shanghai').format('YYYY-MM-DD HH:mm:ss'),'截止时间': arrow.get(expire_date).to('Asia/Shanghai').format('YYYY-MM-DD HH:mm:ss')}event_details = self._build_event_detail(ssl_detail_data, expire_advice, domain, content)events.append({'title': complete_title,'message': f'''{content}该域名 SSL 证书的详细信息如下:&emsp;&emsp;域名:{ssl_detail_data['域名']}&emsp;&emsp;证书版本号:{ssl_detail_data['证书版本号']}&emsp;&emsp;证书序列号: {ssl_detail_data['证书序列号']}&emsp;&emsp;颁发机构:{ssl_detail_data['颁发机构']}&emsp;&emsp;起始时间:{ssl_detail_data['起始时间']}&emsp;&emsp;截止时间:{ssl_detail_data['截止时间']}建议:&emsp;&emsp;{expire_advice}''','status': lever,'event_detail': event_details.to_json()})return eventsAPI_KEY_ID = 'wsak_69ea3***cee'
API_KEY = 'jaZu***I0'@self_hosted_monitor(API_KEY_ID, API_KEY)
@DFF.API('SSL证书过期时间巡检')
def checker(name=''):checkers = [# 配置检测项(目前已支持的检测项见下文)SSLChecker(),]Runner(checkers, debug=False).run()

Tips:

  • 若需测试脚本过期时间提示功能,可打开 80 行注释,可自定义证书过期时间,点击「执行」可测试脚本查看结果
  • 若需对接内部域名管理系统,可修改 _get_domain_list 函数

7.进入「管理」-「自动触发配置」-「新建」,选择「执行函数」,按照实际要求来设置脚本执行频率,以下设置为每天 08:00 定时触发脚本

步骤四:配置智能巡检告警策略

1.进入观测云控制台(console.guance.com),选择「监控」-「通知对象管理」-「新建通知对象」,按照实际要求添加通知对象,具体步骤可参考添加页面「更多帮助」。

2.进入「监控」-「告警策略管理」-「新建告警策略」,输入「名称」,告警通知对象选择第一步创建的通知对象。

3.进入「监控」-「智能巡检」,点击修改「SSL 证书过期时间巡检」,「告警策略」选择第二步创建的告警策略。

Tips:步骤三的脚本至少要运行一次才会有 SSL 证书过期时间巡检这个选项

效果展示

  • 通过观测云「事件」,可以对 SSL 证书过期事件进行管理

  • 告警推送效果

总结

这篇文章重点介绍如何利用现有平台的能力快速帮助构建企业级的 SSL 证书有效期监控巡检系统。除此之外,观测云本身也可以支持接入指标、链路和日志等可观测性数据,并且可以对这些数据进行统一的标签处理,控制台可实现可观测性数据的互相关联打通,方便运维、研发和测试团队从一个平面理解系统运行情况,可大大提升软件开发交付的效率。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/133435.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Rust编程基础核心之所有权(下)

Rust编程基础核心之所有权(下)

1.变量与数据交互方式之二: 克隆 在上一节中, 我们讨论了变量与数据交互的第一种方式: 移动, 本节将介绍第二种方式:克隆。 如果我们 确实 需要深度复制 String 中堆上的数据&#xff0c;而不仅仅是栈上的数据&#xff0c;可以使用一个叫做 clone 的通用函数。 看下面的代码…
阅读更多...
Mac苹果电脑分辨率修改管理 安装SwitchResX 完美解决

Mac苹果电脑分辨率修改管理 安装SwitchResX 完美解决

SwitchResX for Mac是一款Mac应用程序&#xff0c;可帮助您更好地管理和控制显示器分辨率和其他显示设置。使用SwitchResX&#xff0c;您可以创建自定义分辨率、旋转屏幕、调整显示器色彩配置等。 1. 自定义分辨率&#xff1a;SwitchResX允许用户创建自定义的屏幕分辨率&#…
阅读更多...
程序设计:C++ 多进程、多线程原理和一个多进程、多线程框架

程序设计:C++ 多进程、多线程原理和一个多进程、多线程框架

并发编程和异步编程是程序员的基本技能&#xff0c;各种高级语言也开发出了一些高级但晦涩的机制&#xff08;比如C#的await/async&#xff09;。并发编程主要是指多进程、多线程和交替执行&#xff0c;异步编程则是指多个并发执行任务之间的交互。 目录 并发和异步的技术介绍…
阅读更多...
VSCode设置中文语言界面(VScode设置其他语言界面)

VSCode设置中文语言界面(VScode设置其他语言界面)

一、下载中文插件 二、修改配置 1、使用快捷键 CtrlShiftP 显示出搜索框 2、然后输入 configure display language 3、点击 (中文简体) 需要修改的语言配置 三、重启 四、可能出现的问题 1、如果configure display language已经是中文配置&#xff0c;界面仍是英文 解决&a…
阅读更多...
VinsFusion排坑指南

VinsFusion排坑指南

Ubuntu18.04Cere 下载1.14.0版本。Ceres安装方法参考vinsfusion的docker fileOpenCV相关报错 参考 https://wenda.ncnynl.com/article/5CV_LOAD_IMAGE_GRAYSCALE 改成 cv::IMREAD_GRAYSCALE 在三个CMakeLists文件中指定opencv的版本&#xff1a; find_package(OpenCV 3.2.0 REQ…
阅读更多...
C++成长之路

C++成长之路

看好的发展方向&#xff1a; 证券行业软件开发、AI自动化开发、桌面端工具类开发&#xff0c;云桌面技术 产品框架搭建 MFCDuilbLibcef Qt 技术深入 熟知编译器原理 C11/14等新知识的学习 泛型编程 / 模板编程 设计模式 多线程并发 多进程通讯 各种锁及其优缺点 必看书…
阅读更多...
css进阶知识点速览

css进阶知识点速览

0前言 零基础部分的博客 1选择器进阶 1.1后代选择器 作用&#xff1a;根据html标签的嵌套关系&#xff0c;选择父元素后代中满足条件的元素 选择器语法&#xff1a;选择器1 选择器2 {css} 结果&#xff1a; 在选择器1所找到标签的后代中 注意&#xff1a; 后代包括&#xf…
阅读更多...
python 视频硬字幕去除 内嵌字幕去除工具 vsr

python 视频硬字幕去除 内嵌字幕去除工具 vsr

项目简介 开源地址&#xff1a;https://github.com/YaoFANGUK/video-subtitle-remover Video-subtitle-remover (VSR) 是一款基于AI技术&#xff0c;将视频中的硬字幕去除的软件。 主要实现了以下功能&#xff1a; 无损分辨率将视频中的硬字幕去除&#xff0c;生成去除字幕后…
阅读更多...
java高级之单元测试、反射

java高级之单元测试、反射

1、Junit测试工具 Test定义测试方法 1.被BeforeClass标记的方法,执行在所有方法之前 2.被AfterCalss标记的方法&#xff0c;执行在所有方法之后 3.被Before标记的方法&#xff0c;执行在每一个Test方法之前 4.被After标记的方法&#xff0c;执行在每一个Test方法之后 public …
阅读更多...
Xcode15 framework ‘CoreAudioTypes‘ not found

Xcode15 framework ‘CoreAudioTypes‘ not found

Xcode15遇见"framework ‘CoreAudioTypes’ not found。" 可尝试移除CoreAudioTypes&#xff0c;添加CoreAudio。 CoreAudio是CoreAudioTypes的套壳。 CoreAudio/CoreAudioTypes.h头文件内容 /*CoreAudio/CoreAudioTypes.h has moved to CoreAudioTypes/CoreAudi…
阅读更多...
MFC发送http https以及json解析

MFC发送http https以及json解析

域名解析成IP char szWeb[128] "www.baidu.com";struct hostent *pHost NULL;pHost gethostbyname(szWeb);//完成主机名到域名的解析char *IP inet_ntoa(*((struct in_addr *)pHost->h_addr));CString ipStr IP;请求三部曲&#xff1a; 1、CInternetSession…
阅读更多...
Java学习路线指南

Java学习路线指南

有很多想自学Java或者转行Java的会有很多疑问&#xff0c;笔者在此进行总结。 有很多想自学Java或者转行Java的会有很多疑问&#xff0c;笔者在此进行总结。 Java岗位多&#xff0c;容易找到工作。Java工资天花板高&#xff0c;比如&#xff1a;Java架构师、Java技术总监。Java…
阅读更多...
线上JAVA应用平稳运行一段时间后出现JVM崩溃问题 | 京东云技术团队

线上JAVA应用平稳运行一段时间后出现JVM崩溃问题 | 京东云技术团队

一、问题是怎么发现的 系统是一个定时任务系统&#xff0c;需要定时执行业务代码&#xff0c;业务代码主要是访问MYSQL数据库和缓存进行操作&#xff0c;该开始启动&#xff0c;系统日志一切正常&#xff0c;但是运行一段时间到凌晨后&#xff0c;系统就自动崩溃了&#xff0c…
阅读更多...
取消elementUI中table的选中状态和勾选状态赋值

取消elementUI中table的选中状态和勾选状态赋值

一、取消所有选中 1、表格上绑定ref 2、清空用户选中数据 this.$refs.loopRef.clearSelection()二、勾选状态赋值 获取数据&#xff0c;flag为true则是选中状态&#xff0c;并将前面勾选框设为选中状态 this.listData.forEach(item> {if(row.flag1){this.$refs.loopRef.to…
阅读更多...
JavaEE平台技术——预备知识(Maven、Docker)

JavaEE平台技术——预备知识(Maven、Docker)

JavaEE平台技术——预备知识&#xff08;Maven、Docker&#xff09; 1. Maven2. Docker 在观看这个之前&#xff0c;大家请查阅前序内容。 &#x1f600;JavaEE的渊源 &#x1f600;&#x1f600;JavaEE平台技术——预备知识&#xff08;Web、Sevlet、Tomcat&#xff09; 1. M…
阅读更多...
【漏洞复现】typecho_v1.0-14.10.10_unserialize

【漏洞复现】typecho_v1.0-14.10.10_unserialize

感谢互联网提供分享知识与智慧&#xff0c;在法治的社会里&#xff0c;请遵守有关法律法规 文章目录 漏洞利用GetShell 下载链接&#xff1a;https://pan.baidu.com/s/1z0w7ret-uXHMuOZpGYDVlw 提取码&#xff1a;lt7a 首页 漏洞点&#xff1a;/install.php?finish 漏洞利用 …
阅读更多...
5+单基因泛癌范文式教学,适合小白学习

5+单基因泛癌范文式教学,适合小白学习

今天给同学们分享一篇生信文章“Comprehensive Pan-Cancer Analysis of KIF18A as a Marker for Prognosis and Immunity”&#xff0c;这篇文章发表在Biomolecules期刊上&#xff0c;影响因子为5.5。 结果解读&#xff1a; KIF18A的表达及其在泛癌中的诊断价值 TIMER数据库被…
阅读更多...
多模态中各种Fusion方式汇总

多模态中各种Fusion方式汇总

多模态中各种Fusion骚操作 大噶好&#xff0c;我是DASOU&#xff1b; 今天继续写多模态系列文章&#xff0c;对多模态感兴趣的可以看我之前的文章&#xff1a; 其实对于多模态来说&#xff0c;主要可以从三个部分去掌握它&#xff1a; 如何获取多模态的表示【learning mult…
阅读更多...
【ARFoundation学习笔记】ARFoundation基础(下)

【ARFoundation学习笔记】ARFoundation基础(下)

写在前面的话 本系列笔记旨在记录作者在学习Unity中的AR开发过程中需要记录的问题和知识点。难免出现纰漏&#xff0c;更多详细内容请阅读原文。 文章目录 TrackablesTrackableManager可跟踪对象事件管理可跟踪对象 Session管理 Trackables 在AR Foundation中&#xff0c;平面…
阅读更多...
GoLong的学习之路(番外)如何使用依赖注入工具:wire

GoLong的学习之路(番外)如何使用依赖注入工具:wire

我为什么要直接写番外呢&#xff1f;其原因很简单。项目中会使用&#xff0c;其实在这里大家就可以写一些项目来了。 依赖注入的工具本质思想其实都大差不差。无非控制反转和依赖注入。 文章目录 控制反转为什么需要依赖注入工具 wire的概念提供者&#xff08;provider&#x…
阅读更多...
最新文章

Copyright @ 2022~2023