证书有效期正在变得越来越短。TLS/SSL 证书从最早的 3 年到 47 天。对运维团队来说,这意味着续期频率成倍增加:以前三年管一次的事,一个半月就要做一次。续期本身并不复杂,麻烦的是数量多、环境杂、流程长。那我们该怎么用证书生命周期管理思维和ACME协议,把续期这件事从“人工救火”变成“自动灭火”呢?
为什么续期工作量会越来越大?
首先我们要知道很多企业不是只有一张证书。官网、电商、小程序、App API、CDN、负载均衡、内部系统、测试环境,每个环节可能都挂着不同的证书。当有效期缩短后,原本集中在某个时间段处理的工作,被拆散到全年各个时间点。
导致工作量上升主要来自三个方面:
- 证书数量多:一张主域名、多个子域名、多个业务线,证书总量轻松过百
- 部署位置分散:证书可能分布在多个云平台、服务器集群、容器和 CDN 上,手动查找和替换耗时
- 验证流程重复:每次续期都要重新验证域名所有权和组织信息,审批、材料、沟通成本高
如果还是靠 Excel 表格记录到期日、靠邮件提醒、靠人工登录 CA 后台申请再手动部署,出错几乎是必然的。
减少续期工作量的关键:把证书生命周期管起来
真正有效的办法,不是让某个人更勤奋地记到期日,而是建立完整的证书生命周期管理流程。所谓证书生命周期,就是从证书申请、验证、签发、部署、监控、续期,到最终吊销或替换的全过程。
把证书生命周期管起来,核心要做四件事:
- 发现:先搞清楚企业到底有多少张证书、分别部署在哪里、什么时候到期
- 监控:建立统一的到期提醒机制,提前 60 天、30 天、14天、7 天分阶段预警
- 续期:到期前自动触发新证书申请,减少人工干预
- 部署:新证书签发后自动推送到对应的服务器或服务,避免手动上传、配置、重启
这四个环节形成闭环后,续期就不再是“每次从头来一遍”,而是系统自动推进的标准流程。
ACME协议在这个过程中起什么作用?
有了证书生命周期管理的思路,还需要一个自动化协议来落地执行。ACME协议(Automatic Certificate Management Environment)就是目前最成熟的标准之一。
ACME 协议由 IETF 标准化,设计目标就是让证书的申请、验证、签发和续期全过程自动完成。它的工作方式大致如下:
- 客户端向 CA 的 ACME 服务端发起证书申请请求
- CA 通过 HTTP-01、DNS-01 或 TLS-ALPN-01 方式验证域名所有权
- 验证通过后自动签发证书
- 证书到期前自动重新验证并续期
对运维团队来说,ACME 协议最大的价值是“无感续期”。只要配置好 ACME 客户端和验证方式,后续每次续期都可以自动完成,不需要人工登录后台、提交材料、下载证书、再手动部署。
企业怎么落地?分三步走
第一步:盘点现有证书
先做一次全面的证书盘点。列出所有证书对应的域名、CA、到期时间、部署位置、负责人。很多企业盘点完会发现:有些证书早就没人管了,有些域名重复申请了多张证书,有些测试环境证书已经过期但没人知道。
第二步:选择自动化方案
根据企业规模和 IT 环境,选择合适的自动化方式:
- 证书管理平台:适合证书数量多、环境复杂的企业,提供发现、监控、续期、部署一站式能力
- ACME 协议集成:适合已经有 DevOps 流水线的团队,可以把证书续期接入 CI/CD
- 云厂商证书服务:适合主要部署在单一云平台的企业,但跨云场景需要额外工具补齐
对多数企业来说,证书管理平台 + ACME 协议的组合是比较稳的选择:平台负责统一视图和策略,ACME 负责具体的自动签发和续期。
第三步:建立流程和责任人
工具再自动化,也需要配套流程。建议明确:
- 证书责任人是谁,是否有备份负责人
- 到期前多久启动续期流程
- 新证书签发后如何验证业务是否正常
- 出现续期失败时的应急预案
只有流程和工具结合,证书有效期变短才不会变成运维团队的负担。
ACME 能做什么?
GlobalSign 提供基于 Atlas 平台的 ACME 自动化证书管理服务,支持 DV 和 OV 证书的自动签发、更新和撤销。它的特点包括:
- 代理无关:兼容大多数 ACME 客户端,比如 Certbot、Traefik、 Lego 等
- 多验证方式:支持 HTTP-01、DNS-01、TLS-ALPN-01 三种域名验证方式
- DevOps 友好:可以集成到 CI/CD 流水线,实现容器、物理设备、网络服务器的证书自动化
- 内网证书支持:可以为内部端点签发非公开 TLS 证书,无需公网域验证
- 企业级支持:提供 SLA 和本地技术支持,出问题能快速响应
通过 GlobalSign ACME 服务,企业可以把证书生命周期中的重复性工作交给协议自动完成,运维团队只需要关注策略和异常处理。