以往,从手vivo 互联网业务的平台域名证书运维管理工作,严重依赖经验丰富的证书高级运维工程师个人专职管理,证书管理存在单点以及过于依赖的管理工人的情况。
随着业务规模的从手持续扩大,以及对证书管理质量标准的平台要求提升,加强全网证书信息准确的证书收敛把控。
为此,管理工业务运维团队决定,从手通过证书管理流程标准化、平台平台化,证书完成全生命周期管理证书,管理工来消除因依赖人为管理证书问题导致业务可用性受损的从手痛点。
全生命周期管理业务证书,我们建设的平台需具备以下特性和能力:
(1)前端框架:
用基于Vue2的Element构建基础页面
(2)后端框架:
以 Go 语言为基础,快速利用gin框架提供restful的api,业务数据存储在MySQL
证书管理平台整体架构设计:
证书管理平台包含四个非常重要的子模块:
前端是基于Vue2和Element来组建用户的操作界面,整个详细的设计图如下:
其中
在整个证书管理平台的迭代过程中,只需重点关注view中vcm前缀用户界面的代码实现即可。
后端使用Go语言来编写业务逻辑和API接口。其中架构可以参考3.2设计图,管理平台核心逻辑通过代码片段展示如下:
(1)基于casbin实现的权限管理:通过角色控制权限,并按需赋予用户角色默认访问权限(如下图创建角色时AddMenuAuthority、UpdateCasbin方法)。
(2)证书相关数据加密处理:获取前端用户选择的相关算法进行加密。
(3)基于证书管理标准化流程的业务代码实现,覆盖证书的信息管理&变更推送&监控告警&平台的角色权限控制。
经过多个开发迭代,平台相关的核心功能如下:
概览首页收敛证书管理的功能入口,以及收纳管理证书的全貌,方便管理员了解所管理的证书状态和最近的申请进度。
汇总了目前内销所有证书信息,后续平台上申请的证书信息管理也会收敛于此,并提供证书私钥相关的查看和下载。
通过平台场景化证书申请续期的操作,解决过往碎片化操作以及无经验人员需通过文档阅读或者人员指导完成证书申请问题。
平台覆盖云上、NGINX 集群、CDN 以及 VUA 的证书白屏化、可追溯操作历史更新能力。
收敛在平台上管理的证书都会有逾期监控提醒,来提醒运维人员及时完成对应的证书更新管理,确保业务不受影响。
证书管理平台的实践落地,通过流程标准化以及管理平台的建立,规范证书的信息、变更、告警、变更审计相关管理,上线后至今,也无证书管理相关的问题导致的可用性告警,解决了传统域名证书管理场景下人效、可用性隐患的痛点,是业务运维 SRE 可用性保障&运维提效的一个成功案例。
目前我们获取的证书,依旧依赖于传统的域名证书分发模式(站点管理员需要花费金钱购买数字证书,并且证书的签发和更新需要时间和人力成本)。随着区块链和Web 3.0技术的发展,新增了去中心化身份验证和身份管理技术,在证书的分发上具备以下优势:
综上所述,基于区块链的证书分发可以有效降低证书分发的成本和提高证书的安全性。
未来,基于相关技术的成熟程度,也会合理的应用和替换过往的证书申请分发模式,迭代证书管理平台相关的功能,来配合提高证书的管理效率和安全性。
责任编辑:庞桂玉 来源: vivo互联网技术 证书管理vivo(责任编辑:休闲)
王子新材(002735.SZ)拟收购中电华瑞49%股权 2月25日起复牌
放弃Win7/8.1后首次更新 Edge浏览器升级至110版本
和泓服务(06093.HK)年度净利5635.7万元 每股基本盈利为12.76分