如果你有大量的Web應用，管理所有的SSL證書可能會很困難。與企業SSL證書管理的相關關鍵任務有許多，而忽視或錯誤地處理任何一個任務都會導致Web應用被利用。在本文中，我們將看到幾個在實施和管理SSL證書方面最常見的錯誤，并討論如何管理這些證書。

如今，許多大型公司發現自己管理著成千上萬的證書，不犯錯誤而依靠人工管理好這些證書是不可能的。

對于剛開始涉足SSL證書管理的公司來說，其涉及的許多任務可能很驚人。例如，證書需要購買、部署、到期更新等。這些都要花費時間，當許多企業的幾十或幾百個應用或域中的證書成倍增加時，問題尤為嚴重。

這就涉及到一個問題：確保每一個證書都適合于與之配對的web應用。是否需要比較昂貴的擴展認證證書呢(因為這種證書是由可信的CA提供并審查的)?或者保險系數稍低但便宜的證書適合企業呢?比如，對于非面向公眾的web應用是否合適?

證書廠商所提供的產品組件令人迷惑。目前，有幾種不同的驗證等級、不同的哈希類型、長度和保證(實際上是保護終端用戶而不是證書所有者)。要知道某個特定應用需要哪類證書是很困難的。

更糟糕的是，研究人員已經發現，超過半數的公司在某點上會丟失數字證書，或者公司網絡上證書的由來無從查起。這是因為，開發者或其它雇員創建了一個證書卻沒有告訴它人，以至于別人都不知道。

多數公司借助電子數據表人工管理大量的數字證書。這會導致錯誤，比如數字證書丟失、不匹配或標簽錯誤等。證書有可能在不經意間就到期，這意味著CA不再考慮網站或web應用的安全性和可信性。如果受感染的Web應用是面向公眾的，這有可能成為一個代價很高的錯誤，它還有可能導致企業的聲譽受損，或者訪問者的瀏覽器阻止訪問整個網站。這是很多知名系統中斷的原因，也常常是管理員調查的最終原因之一，從而導致更多的宕機時間。

如果發行企業證書的CA受到危害，就會導致另一個問題，比如2011年的DigiNotar和Comodo，以及今年初的TurkTrust，證書就會被其它CA廢除，所以在一個客戶端連接到被感染的服務器時，證書就不再合法。如果在整個企業水平上沒有適當的SSL證書管理，要判斷企業有多少證書(如果有的話)不合法就不可能了。

幸運的是，仍有方案可以解決企業的證書管理難題，其中之一就是自動化。自動化工具可以搜索網絡，并記錄所發現的證書。這種工具通常將證書分配給企業所有者，并管理證書(雖然多數證書并不支持通過不同CA進行更新)的自動更新。它還可以檢查證書是否部署正確，用以避免錯誤地使用一個老證書。然而，自動化的工具并不完美，而且要求人工干預，因為掃描器有可能遺漏存放在它無法訪問位置的證書。

在購買這些自動化工具時，要確保軟件能夠管理來自所有CA的證書。有些軟件只能管理特定CA頒發的證書，而且容易遺漏企業域上的某些證書，即使你相信你僅使用一個供應商也是如此。

規劃和管理某些事件的完善的企業證書極其重要。應當編寫并交流管理過程，詳述在CA遭到攻擊后該做什么，以及如何替換企業網絡中的證書。如果沒有提前計劃好，追查來自遭受損害CA的證書將會很費時間。

本文討論了與人工管理數字證書相關的問題。如果您的企業是依靠人工管理SSL證書，現在也許正是投資購買自動化方案的時候，即使你認為你了解所有的證書，使用后你可能會大吃一驚。