企业级域名 SSL 证书信息采集与巡检

背景

在当前数字化时代，SSL 证书是保障企业网络传输安全、验证网站身份及维护用户信任的基石。尤其对于拥有众多域名的企业而言，SSL 证书的有效性直接关系到业务的连续性与安全性。传统手动管理方式难以应对证书数量多、易遗漏的挑战，证书一旦意外过期，将导致服务中断、安全警告，引发严重的业务风险与声誉损失。因此，实施自动化监控与数据驱动的主动管理策略至关重要。通过持续采集证书有效期、颁发者等关键信息，并动态计算剩余天数，企业能够建立有效的预警机制，从被动响应转向主动运维，从而确保加密链接的始终可靠，夯实企业网络安全防线。

解决方案

为根治 SSL 证书过期所导致的业务中断、安全警告及重大经济损失，企业必须建立一套自动化的监控巡检体系。观测云作为统一的云原生可观测性平台，为此提供了开箱即用的解决方案。该方案能够对企业所有域名 SSL 证书进行集中、可视化的生命周期管理，通过智能获取并追踪证书的精确过期时间，实现无人值守的全自动巡检。当系统检测到任一证书即将过期时，会立即触发多通道告警，通过邮件、钉钉、飞书或自定义 Webhook 等方式第一时间通知运维负责人，从而为证书更新预留充足的操作窗口，化被动补救为主动预防，从根本上杜绝证书过期风险，保障业务连续性与企业安全声誉。

最佳实践

Step01 创建 API Key

登录观测云控制台，点击「管理」 -「API Key 管理」 - 「新建 Key」。

Step02 部署 Func

DataFlux Func 是一款函数开发、管理、执行平台。Func 的脚本市场，集成了多种巡检的脚本，企业级的域名 SSL 证书有效期监控巡检就是其中之一，Func 的调度执行平台会定时执行巡检脚本，把产生的事件推送给观测云。执行如下命令即可实现一键部署 Func。

复制代码

/bin/bash -c "$(curl -fsSL func.guance.com/portable-download)" -- --for=GSE

Step03 创建连接器

复制 Step01 创建的 keyid，新建一个连接器，选择对应的 SAAS 站点，将 key 复制到连接器配置中，保存。

Step04 安装脚本

1、登录 Func，进入「脚本市场」。

2、Func 的脚本市场已经集成了 SSL 证书信息采集的脚本Integration (Domain SSL Certificate Info Collector) ，点击"安装"。

3、输入需要采集的 SSL 证书信息，然后点击"部署启动"。

4、点击"前往启动脚本"。

5、点击"编辑"，可以修改要采集的 SSL 证书信息，多个域名用逗号分隔。保存并发布。

发布完成后可以在【管理】-【定时任务】查看相关的任务记录。

也可以在平台上【基础设施】- 【资源目录】查看相关的数据是否已经采集到。

点击某个域名可以查看相关的扩展信息。

对应字段的解释如下(以下信息已做脱敏处理)：

字段名	示例值	含义说明
基本信息
name	www.xxxxx.com	检测的域名
class	domain_ssl_certificate	数据分类：域名SSL证书
__source	domain_ssl_certificate	数据来源
证书有效期
not_before	2025-08-05T00:00:00Z	证书生效时间
not_after	2026-09-05T23:59:59Z	证书过期时间
days_to_expiration	329	剩余有效天数（从采集时间计算）
证书主体信息
subject_common_name	*.xxxxx.com	证书主体通用名（支持的通配符域名）
颁发者信息
issuer_common_name	TrustAsia DV TLS RSA CA 2025	证书颁发机构名称
issuer_organization_name	TrustAsia Technologies, Inc.	颁发机构组织名
issuer_country_name	CN	颁发机构所在国家
证书详情
version	3	SSL证书版本号
serial_number	0B4FFA6CAD825XXXXXXE475684F9FD7	证书序列号
message	JSON格式的详细证书信息	包含完整的证书详细信息
时间信息
time	1760166911000	数据采集时间戳
create_time	1760166911120	记录创建时间
last_update_time	1760166911120	最后更新时间