现在企业的数字证书早就不是一两张的事了。公有云、私有云、容器平台、CDN、物联网设备、内部业务系统,每个地方都在用证书,每个证书都有自己的到期时间。
大多数企业都是证书快到期了才开始续期,这样就导致很多证书容易被遗忘导致一系列的问题。Atlas 数字身份平台,正是为了解决这种“证书散落在各地”的问题。它相当于是把所有证书集中管理,配合 ACME 协议与自动化管理,实现证书从发现、签发到续期、吊销的全生命周期管理,这样就直接杜绝了证书忘记续期的问题了。
多云架构下,证书管理为什么容易失控?
多云架构带来了很多好处,但也带来了一个很现实的问题:证书太分散了。
不同云平台管理证书的方式都不一样,管理方法各种各样,但是结果是安全团队看到的是一张张表格,运维团队看到的是不断弹出的到期告警。
最主要的问题是很多证书在申请之后缺乏跟踪、人员变动、服务器下线、项目交接,都会留下一些问题。这些证书一旦到期,可能直接让某个服务挂掉,甚至影响客户访问。
Atlas 是什么?一个覆盖证书生命周期的统一平台
Atlas 是 GlobalSign 的数字身份平台。它不只是签发证书的 CA 工具,而是一个覆盖证书完整生命周期的管理平台。
证书的所有流程,Atlas 都能在一个控制台里完成。不管是公有云、私有云、容器环境,还是本地数据中心,只要接入 Atlas,就能用统一的策略来管理证书。
对安全负责人来说,这意味着不用再靠人工来去追踪证书;同样对运维团队来说,意味着证书到期前系统自动处理,不用半夜起床处理证书问题。
统一管理证书生命周期,Atlas 做了哪几件事?
1. 自动发现证书,先摸清家底
- 证书很多没办法用人工管理,这就诞生了Atlas这个平台的管理证书的方式,从根本问题上直接解决
- 它会扫描企业的网络资产、云平台、负载均衡、容器集群等位置,他可以知道那些证书不用了,哪些证书快到期了以及签证书的机构名称,这是后续所有自动化管理的基础。
2. 制定策略,按统一规则发放证书
- 知道证书的存在之后,就要建立规则,不同的业务用不同的证书来去验证,秘钥的长度及有效期多长,那些证书必须要走审批流程
- Atlas 支持按照我们想要的时间批量签发证书,这样就可以分工明确,不会出现错乱等问题,配合自动化管理的功能,直接就能够把策略下发到企业的终端和身份体系,这样就可以达到发放统一证书的标准
3. 统一监控和报告,到期提前预警
- Atlas 提供统一的仪表盘和报告,能看到每张证书的状态、分布、到期时间、责任人。
- 快到期的证书会自动告警,已经过期的证书可以快速定位。审计的时候,也能直接导出证书清单,不用临时翻记录。
ACME 协议和自动化管理,怎么配合 Atlas 工作?
ACME 协议和自动化管理,是 Atlas 实现证书全生命周期管理的两个关键能力。
ACME 协议负责“机器和 CA 之间的对话”。服务器通过 ACME 客户端向 Atlas 申请证书,Atlas 验证域名后自动签发,证书到期前再自动续期。整个过程不需要人工干预,特别适合大规模 Web 服务、容器环境和物联网设备。
自动化管理则更关注企业内部的流程编排。它可以把 Atlas 与企业现有的身份目录、终端管理系统对接,根据策略自动给设备、用户、应用下发证书。员工入职自动获得证书,离职自动吊销,设备更换时证书也能平滑迁移。一个面向云原生基础设施,一个面向企业内部流程,两者结合起来,就覆盖了证书自动化管理的大部分场景。
哪些场景特别适合用 Atlas?
- 多云或混合云环境:证书分散在多个云平台,需要统一管理。
- 大规模 Web 服务:服务器数量多,续期频繁,适合通过 ACME 协议自动续期。
- CI/CD 流水线:代码构建、部署、容器运行时需要自动获取证书。
- 物联网设备:成千上万台设备需要自动申请和更新证书。
- 企业内部终端:需要批量给设备下发证书,并实现入职、离职、换设备的自动化管理。