首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >问答首页 >SSL证书管理和跟踪

SSL证书管理和跟踪
EN

Security用户
提问于 2021-03-10 03:19:10
回答 1查看 108关注 0票数 0

我不知道有任何框架/工具来实现我们所要做的事情,但在这里发表文章是为了听取专家的意见和关于大型组织如何做到这一点的意见和推荐的自动化方法。

我们已经具备了自动识别、更新和跟踪SSL/TLS证书过期的功能,但除非应用程序团队或开发团队知道,否则我们无法查看或跟踪安装证书的所有位置或程序。

例如,我们为foo.internal.net创建一个SSL证书,并将相同的文件复制到Apache、Java和许多其他地方。想知道是否有任何产品或库可以跟踪给定cert的部署,而不管位置、程序和操作系统如何,是否采用半自动化或完全自动化的方法。

我非常清楚,我们可以启动一个进程,继续添加到那个CMDB或DB中,并且可以永远构建,以捕获所有这些数据。

是否有任何方法可以解决这些要求中的一部分或全部?

谢谢

EN

回答 1

Security用户

发布于 2021-03-10 08:39:10

  1. 您必须知道证书的位置,因为它与私钥相关。这种cert/key的泄漏可能是攻击整个基础结构的一个步骤,想象一下用于LDAP和不重要的HTTPS服务的共享证书/密钥的泄漏。通配符证书是不好的。
  2. 手动复制不是一个好的解决方案。

对于第一个问题,你必须有一个管理。对于后者,您必须有一个自动化,这取决于管理。

管理取决于你的工作方式。你主要经营集装箱吗?您的工作负载是静态的还是动态的?

自动化取决于您是否要实现“推送”模型,即。当目标从受信任的源更新自己时,会将更改推送到目标,或者是一种“拉”模式。

有一些产品涵盖了所有这些。例如,HashiCorp Vault能够通过HTTP生成短时间的TLS密钥/证书。可以通过计划作业( UNIX世界中的cron作业)从受信任的管理节点或从使用这些密钥/证书的计算机启动更新过程。或者可以让consul代理在所有托管节点上运行,这些节点将查找consul's K/D数据库中的更改,当值(base64编码的键/证书)发生更改时,consul代理会做出反应-保存更新键/证书,重新启动TLS服务。

票数 1
EN
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://security.stackexchange.com/questions/245900

复制
相关文章

相似问题

领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档