实施SSL证书的生命周期管理

引言：所有SSL数字证书的寿命都有限，并且在到期后就不再合法。在最低限度上，证书需要在其寿终正寝时被替换，以避免服务中断或降低安全性。但是，在很多情况下，证书需要更早地被替换。

所有SSL数字证书的寿命都有限，并且在到期后就不再合法。证书有不同的合法周期，并且根据公司策略和成本问题，证书的到期时间常被设置为从一到三年不等。

在最低限度上，证书需要在其寿终正寝时被替换，以避免服务中断或降低安全性。但是，在很多情况下，证书需要更早地被替换（例如，“心脏出血”漏洞、公司合并、公司策略发生变更，等等）。

考虑到SSL证书的有限寿命及其在企业中的广泛使用，我们可以找到管理SSL证书生命周期的很多原因。对于不依赖人工过程和工具的SSL证书来说，精确记录是极其关键的。

本文还要使企业认识实现证书管理的规范化，使证书生命周期过程实现自动管理，能够实现更好的监管和控制，降低成本，提高效率，降低安全风险。

证书管理差强人意

虽然SSL证书最常见的使用是，显示在以交易业务为主的网站上用以保护用户和付款信息的“浏览器锁定”图标，但SSL证书还可用于保证拥有关键业务企业的基础架构组件的安全性。

例如，雇员和合伙人使用VPN来访问敏感信息，而后端系统依赖SSL证书来保障远程访问的安全。事实上，所有基于浏览器的云服务都要求依靠SSL证书来传送客户的账户信息、业务合伙人的业务、库存状态、时间跟踪及许多其它的使用。

在企业内部部署得最多的雇员效率提升工具和应用（例如，销售报价和文档库）也要依赖SSL的安全性。而且其使用不限于基于浏览器的安全。

SSL证书还被用于保障服务器到服务器的通信（实现应用程序和数据的交换）安全。

由于SSL证书的这种广泛使用，不正确配置的证书或到期的证书都有可能带来灾难性后果。

如果SSL证书无法正常工作，企业不仅会丧失收入并使客户的信心面临风险，而且雇员和企业合伙人也可能无法正常工作。暴露机密信息的风险会极大增加，并且有可能导致经济损失，或因不合规而遭受惩罚。

因而，管理企业复杂网络中的SSL证书以确保实现保护和防止意外问题对所有企业来说都是非常必要的。

实施证书的生命周期管理正当时

虽然确保SSL证书的正确实施非常关键，但是管理大型企业中的每一个独立的证书并非易事。由于企业位置和部门的多重性，以及外部的基于云的服务的不断快速增长，管理变得更加困难。

除增加了复杂性，管理的成本也很高。思科（Cisco）曾估计，在实施证书的生命周期管理之前，企业管理每个证书大约需要花费四个小时。根据这种情况来分析，管理一个证书要比最初购买证书的成本还要高。

由于许多企业都利用多种管理方法（这些方法往往根据部门和功能而变化，并且往往是特定的和人工的），因而要防止出问题就变得更困难。

利用生命周期管理系统可以确保一种一致性的管理方法，并且支持自动化，因而会提高效率和SSL证书管理的效力。

虽然，为了部署新的或维护已有的应用程序，以防止与不正确实施证书配置和证书到期而带来的有关问题，企业需要进行大量管理工作，但是企业中重大变化和计划外的事件都可能极大增加时间、成本、安全风险。

典型的运营变化，例如数据中心内部的迁移、私有云和公有云的引入、企业并购等，都会给分散的人工管理过程带来很大压力。

同样地，使用非集中化的和人工的管理系统，几乎无法响应一些要求快速更换证书的预料之外的事件（例如，心脏出血漏洞，SHA-1哈希的快速终结）。

什么是证书的生命周期？

如上所述，SSL证书并不是安装完毕后就可以运行的“常青树”，而是有着有限的生命周期且不允许以软件同样的方式进行更新。SSL证书具备如下特征，在综合考虑时要求进行如下管理：

发布：企业应从可信的厂商购买证书，并确保部署内部审批和行政监督到位。

详细清单：要记录关于证书类型、部署、到期时间，以及负责证书管理的人员和部门等信息。

监视：持续地监视上述清单，确保其满足当前的合规要求。

更新：证书的所有者应当跟踪到期时间，在到期之前替换证书，并且验证正确的证书安装。

退役：到期的证书状态应记录为“不再服务”或“已更新”，或者能够在需要时提早撤消。

解决SSL证书的管理难题

如果企业没有适当的证书生命周期管理，就会在如下的一个或几个阶段存在局限性（但通过证书生命周期管理却能够解决）：

在证书的发行阶段，如果没有生命周期管理，则会存在多个杂乱的界面和认证机制；如果有了管理，就可以使用一个独立的常见界面和授权机制。

在证书清查阶段，如果没有证书的生命周期管理，清查结果或清查清单就会受到在发布阶段所收集信息的限制，清单往往陈旧且不充分；如果企业采用了生命周期管理，就可以通过自动系统使证书信息持续地更新。

在监视阶段，在没有采用生命周期管理方案时，证书容易在系统中迷失，到期且引起收入和信誉的损失；如果采用生命周期管理，可定制的电子邮件通知就可以在证书的生命周期期间，在多个点上向用户发出警告信息，从而确保用户不会忽视任何重要问题。

在更新阶段，在不采用证书生命周期管理时，由于受到上一阶段的电子邮件通知的限制，企业无法验证证书的安装；而通过实施生命周期管理，企业就可以创建一种闭合的过程，并且可以验证证书的安装。

在证书的退役阶段，在没有生命周期管理时，根本谈不到正式的退役；如果采用生命周期管理，证书都可以正式地更新或退役。

六步曲

1，开始扫描

即扫描整个环境：扫描所有应用程序，扫描所有的域和证书。

首先，企业需要了解SSL证书在哪里，只有这样才能深入地理解在企业中部署的所有SSL证书。这对于保障在线业务和通信安全至关重要，当然对于确保后端操作和应用的安全也生死攸关。

即使企业已经具备了证书管理服务和许可过程，多数CA发现工具也只能发现由此CA发行的SSL证书或此类型的证书。在这种情况下，审计就会遗漏未许可购买的证书（往往是那些管理员应当关注的证书）。

管理者必须确认企业正在使用一种通用的能够发现所有证书的证书发现工具。这种发现工具还应当验证是否SSL证书都已经正确地安装。购买一种通用的证书发现工具最终会节省时间、减少风险，并且可以简化审计过程。彻底的审计有助于确定企业对额外的一些工具以及策略和过程改进的需要。

2，开始整合

即将所有证书整合到一个集中管理的系统中。

随着公有和私有云服务的使用，以及应用和平台的增加，对SSL证书的需要也相应增加；这反过来会增加不同SSL证书类型的管理员和账户的数量。如果企业没有单一的控制点，对这些的管理就会变得捉襟见肘。

企业有可能从多个不同的厂商购得了不同加密强度和认证水平的SSL证书，并且每个证书都有自己的管理控制台。

基于审计结果，企业会掌握评估环境中SSL使用的更完整的信息。这有助于确认那些存在“孤岛”和“碎片”的地方，可以使管理员将证书管理整合到单独的一个管理账户实现更好的控制。

企业应建立单独的一个主要账户用于日后的工作。随着当前的证书到期，企业就可以用来自最重要的可管理账户（它支持所有证书类型）的证书来替换它。

3，建立一个过程

此过程就是定义一个企业范围内用于监视和控制策略的管理过程。

首先，要确认谁负责证书管理，哪些人可以得到授权和对证书管理进行操作。

定义管理员、管理员的请求者、批准者以及企业内部要求的任何其它角色，这样做可以使得部署管理过程更简单。企业工作流程的设计应当简化管理，并且避免瓶颈或死胡同。要考虑哪些人有哪些特权，用户如何登记注册以及哪些人可以接收哪些类型的通知。

利用基于角色的访问和灵活实时的特权分配有助于强化管理过程，并可以根据用户的角色和企业特征和性质来使用户管理证书。审计日志应当记录与每个已发布证书有关联的所有管理员的活动，并且还可用于发现任何违反策略的情况。

4，保持警惕

企业应建立警告和报告，用以监视证书清单。企业需要能够根据权威信息和当前信息来对证书问题发出通知，通过一个可行的过程来解决证书问题。

企业应实时地将迫近的关键证书的到期作为事件，以防止服务中断。依靠不完整的人工报告中的静态信息（如警告日志）无法满足要求。

企业应搭建证书管理平台，以便于更好地管理时间和资源，并且运行动态的实时的报告，根据证书的状态（例如，所有的证书请求、合法性、已撤销、到期）显示整个企业中实际的SSL证书清单。企业定期发布更新报告可以帮助管理员计划SSL证书的更新，并防止服务中断。

在证书快要到期却没有采取任何行动时，这些报告应提供一个发布清单，实现失效转移和下一步行动。历史报告可以使管理员观察过去的使用，用于未来的计划和管理。企业还应当经常运行SSL服务器测试。这种网络服务对互联网上的任何SSL web服务器的配置进行深入分析。

5，撤消和替换

集中化的证书清查和管理工具结合证书的发行周期、密钥强度、验证类型等方面的策略，可以使得撤消和替换证书更轻松。这种系统和过程既支持常规的更新和替换，也支持非常规的情况。

例如，在服务器离线、被移动或替换时，管理员应当访问一个管理系统，采取行动，撤销SSL证书，或者在必要时替换SSL证书。这类系统还支持诸如“心脏出血”漏洞的修复等情形。

在发生私钥丢失的事件中，或者如果服务器崩溃且证书被删除，管理员应当能够撤销证书并且发布一个代替证书。

6，持续发现和监视

企业要通过已建立的过程进行持续地发现和监视。如果企业部署了多余的证书，就会带来持续的威胁，将企业置于风险之中。

常见的情形包括某人合理地获得了测试或开发环境中的证书，或者一个外部厂商部署了一个未经认证的证书，或者恶意用户为自己的利益安装多余的证书。

企业应利用发现和SSL服务器的测试工具来持续地监视和扫描环境，从而确保整个过程的完整性，并防止服务中断和安全风险。对照规范和其它策略定期检查当前的做法，确保整个过程随着行业标准、合规要求、新的威胁载体、技术更新和业务目标而演变。

结束语

企业通过利用由独立的全面SSL证书管理方法支持的证书生命周期过程，就可以获得企业范围内的可见性并确保企业的安全。

这种方案的关键组件是SSL证书管理系统的使用，它支持过程驱动，可以简化SSL证书的发现和监视，并可以使证书的更新和迁移实现自动化。

有效的SSL证书管理方案可以使企业明确自己的证书种类，帮助企业及时地更新证书，并且管理多个不同厂商之间的证书。

生命周期管理系统的实施最终可以使响应安全事件的灵活性，执行更新（，防止服务中断并保持合规。这种有效的方法可以减少总成本，也可以减少在一个分布式环境中管理SSL证书的复杂性。N