本文作者：观测云产品技术专家 黄小龙

掘金链接：https://juejin.cn/post/7173867497148383245

Why

现在对于企业来说，HTTPS已经不是可选项，已经成为一个必选项。HTTPS协议采用 SSL 协议，采用公开密钥的技术，提供了一套TCP/IP传输层数据加密的机制。SSL 证书是一种遵守 SSL 协议的服务器数字证书，一般是由权威机构颁发给网站的可信凭证。SSL 证书是有过期时间的限制的，自 2020 年的 9 月以后，权威机构颁发的 SSL 证书的最长有效期被限制在 398 天以内，也就是说，基本上每个网站都需要每年更新或者替换一次 SSL 证书，不然证书过期会导致网站无法访问、数据被暴露等各种风险。

根据互联网公开的信息，2018 年 12 月，日本运营商软银数字证书过期导致 3060 万用户通信故障长达 4 个多小时；2020 年 2 月，微软协同办公软件 Team 因证书过期在全球范围内处于宕机瘫痪状态；2020 年 5 月 13 日，特斯拉因证书过期导致 APP 出现大面积宕机，导致大部分车主被锁在车外。据《企业数字证书管理安全调查》统计报告，74% 的组织都经历过证书过期的停机故障，每个组织的平均损失超过 1100 万美元。

证书有效期的缩短，增加了证书更新的频率，导致使用加密证书的网站所有者和企业的管理周期变得更加复杂，对许多依赖数字证书保护系统的公司来说，带来很大的证书管理成本，对于 SSL 证书的管理者来说，建设一套 SSL 证书有效期的监控巡检系统非常有必要。

How

本文实现的 SSL 证书有效期监控巡检系统原理比较简单，大致流程如下图所示。本质上就是通过 Python 脚本获取域名的 SSL 证书文件，一般来说证书文件内容会包括颁发机构、证书序列号、有效期起始时间、有效期结束时间等信息，获取证书的有效期结束时间后，判断证书是否即将过期，将过期事件推送至观测云，巡检系统配置对应的告警策略，发生事件告警后推送至钉钉群或企微群。

What

下面将会详细介绍如何利用观测云的智能巡检能力帮助企业快速构建一个 SSL 证书有效期监控巡检系统。

步骤一：安装DataFlux Func

执行以下命令安装DataFlux Func平台（func.guance.com），DataFlux Func是一个基于Python的脚本开发、管理、执行平台，可以非常快速方便的帮助我们执行Python脚本。

/bin/bash -c "$(curl -fsSL t.guance.com/func-portable-download)"

步骤二：注册观测云

登录观测云官网（www.guance.com）注册观测云，注册完成之后，进入「管理」 -「API Key 管理」-「新建 Key」，保留生成的Key ID和Key。

步骤三：运行SSL证书有效期巡检脚本

1. 进入步骤一搭建的 Func 平台，进入「管理」-「实验室」功能，打开「开启脚本市场」和「开启 PIP 工具模块」

   

2. 进入「管理」-「脚本市场」，点击安装「观测云自建巡检 Core 核心包」

1. 进入「管理」-「PIP 工具」，输入pyopenssl，点击「安装」

   

2. 进入「开发」-「添加脚本集」，填写 ID 和标题（此处可按需求随意填写），点击「保存」

   

3. 进入「开发」-「SSL 证书有效期监控巡检」-「添加脚本」，填写脚本 ID

   

4. 复制以下代码到「SSL 证书有效期监控巡检」-「main」脚本中，修改134 行和135 行的API_KEY_ID和API_KEY为步骤二创建的Key ID和Key，修改12 行的domain_list，添加需要巡检的域名，点击右上角「发布」，若需脚本功能，可在编辑状态点击运行

代码请至文章开头掘金链接原文查看

1. 进入「管理」-「自动触发配置」-「新建」，选择「执行函数」，按照实际要求来设置脚本执行频率，以下设置为每天 08:00 定时触发脚本

   

   

步骤四：配置智能巡检告警策略

1. 进入观测云控制台（console.guance.com），选择「监控」-「通知对象管理」-「新建通知对象」，按照实际要求添加通知对象，以添加钉钉群机器人为例，具体步骤可参考添加页面「更多帮助」

   

2. 进入「监控」-「告警策略管理」-「新建告警策略」，输入「名称」，告警通知对象选择第一步创建的通知对象

   

3. 进入「监控」-「智能巡检」，点击修改「SSL证书过期时间巡检」，「告警策略」选择第二步创建的告警策略

Tips：步骤三的脚本至少要运行一次才会有SSL证书过期时间巡检这个选项

效果展示

• 通过观测云「事件」，可以对 SSL 证书过期事件进行管理

  

  

  

  

• 告警推送效果

  

总结

本文重点介绍如何利用现有平台的能力快速帮助构建企业级的 SSL 证书有效期监控巡检系统。除此之外，观测云本身也可以支持接入指标、链路和日志等可观测性数据，并且可以对这些数据进行统一的标签处理，控制台可实现可观测性数据的互相关联打通，方便运维、研发和测试团队从一个平面理解系统运行情况，可大大提升软件开发交付的效率。

往期精彩大放送

GUANCE

可观测性技术博客｜谷歌教你如何说服老板为用户体验掏钱(2)-提高收入 18% 的实践案例

卓越级！观测云的可观测性实践案例获信通院肯定

客户案例｜英雄互娱 —— 提升 300% ！一次性能优化实战记录

客户案例 ｜ 橡树黑卡携手观测云，实现会员体系业务可观测

客户案例｜Filebeat 接入观测云——用观测云替换 ELK

可观测性技术博客｜谷歌教你如何说服老板为用户体验掏钱(1)- 电商品牌的最佳实践

可观测性最佳实践｜Kubernetes Pod的异常发现与定位

可观测性好文推荐｜7 大企业数据战略趋势｜CIO

兼容认证 ｜ 观测云与行业多款产品完成兼容互认

可观测性技术博客｜快速实现根因分析/业务大盘-前端同学在可观测性的启蒙与初试探

关于观测云

观测云（www.guance.com），新一代云原生全链路数据可观测平台，国内首批获得中国信通院颁发的「可观测性平台技术能力」先进级认证，实现统一采集、统一标签、统一存储和统一界面，带来全功能的一体化可观测体验。观测云能全环境高基数采集数据，支持多维度信息智能检索分析，及提供强大的自定义可编程能力，使系统运行状态尽在掌控，故障根因无所遁形。

为帮助广大技术爱好者更好地了解全球技术趋势、可观测性最佳实践、观测云产品功能等前沿干货，我们特别成立了观测云官方社区交流群，为大家提供一个交流互动的平台。还没有入群的小伙伴，可以扫码加微信入群，一起参与到我们的技术社群来！

【 查看观测云学堂 】点击下方阅读原文