一、背景

以往，vivo 互聯網業務的域名證書運維管理工作，嚴重依賴經驗豐富的高級運維工程師個人專職管理，證書管理存在單點以及過于依賴的人的情況。

隨著業務規模的持續擴大，以及對證書管理質量標準的要求提升，加強全網證書信息準確的收斂把控。

為此，業務運維團隊決定，通過證書管理流程標準化、平臺化，完成全生命周期管理證書，來消除因依賴人為管理證書問題導致業務可用性受損的痛點。

二、能力規劃

全生命周期管理業務證書，我們建設的平臺需具備以下特性和能力：

• 高效的證書申請：
  新申請以及續期場景，平臺引導用戶自動的生成私鑰和 CSR 并提交工作申請聯絡單，用戶完成驗證后自動存儲證書合并私鑰。
• 便捷的證書管理：
  支持多種證書格式導入、導出功能，查看完整的證書信息。
• 安全的私鑰存儲：
  使用 AES256 等 高強度算法加密存儲。
• 證書逾期監控：
  支持 30/60 天,可自定義逾期的證書監控告警。
• 證書變更白屏化：
  覆蓋 NGINX、 SLB、CDN 以及 VUA 證書變更場景。

三、設計思路

3.1 技術選型

（1）前端框架：

用基于Vue2的Element構建基礎頁面

（2）后端框架：

以 Go 語言為基礎，快速利用gin框架提供restful的api，業務數據存儲在MySQL

3.2 架構設計

證書管理平臺整體架構設計：

3.3 模塊設計

證書管理平臺包含四個非常重要的子模塊：

• 可視：
  是整個平臺最基礎的模塊，除基礎的權限功能外，通過收斂匯總所以證書信息，實現證書總覽數據分析，證書的操作的追溯以及變更審計和操作可視化。
• 管理：
  是證書信息管理的核心功能之一，實現證書信息的可視化以及信息變更、證書申請、證書續期的能力。
• 變更：
  提供 NGINX、SLB、CDN、VUA 證書的推送能力。
• 監控：
  提供證書的生命周期檢測、有效期提醒、線上證書掃描的能力。

四、技術實現

4.1 前端

前端是基于Vue2和Element來組建用戶的操作界面，整個詳細的設計圖如下：

其中

• main.j包含整個業務系統落地所需要的各類組件和元素，實現組件 的提供以及基礎的權限校驗；
• api的方法通過合理的封裝后端的接口，提供view中呈現給用戶的界面調用方法，來實現整個證書管理的業務流程操作。

在整個證書管理平臺的迭代過程中，只需重點關注view中vcm前綴用戶界面的代碼實現即可。

4.2 后端

后端使用Go語言來編寫業務邏輯和API接口。其中架構可以參考3.2設計圖，管理平臺核心邏輯通過代碼片段展示如下：

（1）基于casbin實現的權限管理：通過角色控制權限，并按需賦予用戶角色默認訪問權限（如下圖創建角色時AddMenuAuthority、UpdateCasbin方法）。

（2）證書相關數據加密處理：獲取前端用戶選擇的相關算法進行加密。

（3）基于證書管理標準化流程的業務代碼實現，覆蓋證書的信息管理&變更推送&監控告警&平臺的角色權限控制。

五、平臺預覽

經過多個開發迭代，平臺相關的核心功能如下：

5.1 證書信息概覽

概覽首頁收斂證書管理的功能入口，以及收納管理證書的全貌，方便管理員了解所管理的證書狀態和最近的申請進度。

5.2 證書信息管理

匯總了目前內銷所有證書信息，后續平臺上申請的證書信息管理也會收斂于此，并提供證書私鑰相關的查看和下載。 

5.3 證書申請/續期

通過平臺場景化證書申請續期的操作，解決過往碎片化操作以及無經驗人員需通過文檔閱讀或者人員指導完成證書申請問題。

5.4 證書變更管理

平臺覆蓋云上、NGINX 集群、CDN 以及 VUA 的證書白屏化、可追溯操作歷史更新能力。

5.5 證書監控

收斂在平臺上管理的證書都會有逾期監控提醒，來提醒運維人員及時完成對應的證書更新管理，確保業務不受影響。

六、總結

證書管理平臺的實踐落地，通過流程標準化以及管理平臺的建立，規范證書的信息、變更、告警、變更審計相關管理，上線后至今，也無證書管理相關的問題導致的可用性告警，解決了傳統域名證書管理場景下人效、可用性隱患的痛點，是業務運維 SRE 可用性保障&運維提效的一個成功案例。

七、展望

目前我們獲取的證書，依舊依賴于傳統的域名證書分發模式(站點管理員需要花費金錢購買數字證書，并且證書的簽發和更新需要時間和人力成本)。隨著區塊鏈和Web 3.0技術的發展，新增了去中心化身份驗證和身份管理技術，在證書的分發上具備以下優勢：

1. 不可篡改性：
   區塊鏈技術保證證書的安全性和不可篡改性。因為每一個區塊鏈節點都會對交易進行驗證和記錄，從而保證數據的一致性和完整性，防止偽造和篡改。
2. 透明性：
   區塊鏈技術使得所有參與者都可以獲得統一的信息，從而保證證書的透明性，避免信息不對稱或不公平的情況發生，同時也可以有效地降低信息傳遞成本。
3. 保密性：
   區塊鏈技術可以采用加密算法，保證證書的保密性和隱私性。同時，也可以根據需求設定只允許特定的參與者訪問相關信息。
4. 高效性：
   傳統的證書分發需要進行大量的人力和物力投入，而基于區塊鏈的證書分發可以實現自動化，從而提高證書分發的效率。
5. 可追溯性：
   基于區塊鏈的證書分發可以實現對證書的溯源和追蹤，從而可以更好地防止證書的丟失或濫用。

綜上所述，基于區塊鏈的證書分發可以有效降低證書分發的成本和提高證書的安全性。

未來，基于相關技術的成熟程度，也會合理的應用和替換過往的證書申請分發模式，迭代證書管理平臺相關的功能，來配合提高證書的管理效率和安全性。