热门搜索

1I信驱动电子签章CA数字证书天威盾天威盾驱动
400-666-3999 工作台 免费试用

            FreeBuf专访天威诚信罗贇 | 构建安全的SSL证书管理自动化

            发布日期:2025-11-19 09:08 浏览量:21

            近期,2025世界互联网大会“互联网之光”博览会在乌镇正式闭幕。作为国内领先的数字信任服务提供商,天威诚信在博览会期间全程亮相网络安全主题展区,其全链路智能化的SSL证书自动化解决方案备受关注。


            封面_副本.jpg


            展会期间,国内顶尖的网络安全行业媒体FreeBuf特别走进天威诚信展台,专访了天威诚信方案及交付总监罗贇,共同探讨在证书有效期不断缩短的行业趋势下,企业如何破局运维困境,驶入证书管理的“安全自动驾驶”快车道。



            01.png

            随着SSL/TLS证书有效期缩短至47天成为行业通识,企业证书管理频率激增,运维压力空前。面对这一核心痛点,FreeBuf记者首先抛出了所有企业都关心的问题:天威诚信的产品最能帮助企业解决的核心问题是什么?


            罗贇:我们全链路自动化的SSL证书生态引擎解决了客户核心的三大问题。


            第一个问题是解决证书找不到的问题,是我们通过全域的检测能力可以为企业构建一个证书资产地图,解决我所有证书资产的可见、可控、可视化


            第二个问题解决忙不过来的问题,我们通过策略的驱动,进行全流程自动化的申请、部署、验证,保证了整个周期的安全性。


            第三个问题就是要解决防不住的问题,我们提供前置预警服务,同时在线实时监听,来告知我们的运维人员某个服务器某张证书是否已经产生了一些预警,那么我们构建了这样的防过期证书屏障,让我们的被动救火模式转变成主动防御模式,最终从根本上解决证书过期带来的一些业务阻断的影响。


            总而言之,我们解决的不是一个点上的问题,更多的是通过构建一个自动化的体系,让我们的证书管理从人工手段转变成我们智能化的一个时代。



            02.png

            在推进国密算法与信创生态建设的背景下,支持“双证书”(国际+RSA算法与国密SM2算法)已成为企业刚需。但落地之路并非一帆风顺。当被FreeBuf问及其中最难的问题时,罗贇分享了两大挑战:生态的碎片化标准的不一致


            罗贇:第一点是生态的碎片化,第二点其实就是标准的不一致。


            首先从技术站角度来看的话,国际证书和国内的证书无论从证书格式,包括申请流程、部署流程、兼容性以及信创不同的 OS 的版本、中间件的版本各自不一,我们的自动化接口也不统一。其次就是流程的并行,在整个自动化的体系当中,我们同时运行了两套自动化的流程,不管是从国际国密证书的一个申请、下载、获取、部署以及我们的验证流程,两套流程是完全并行的。


            针对这样的挑战,第一我们做了抽象化,第二我们做了模块化。


            第一我们制定了证书抽象的模块,在这个里面上层无论是国密证书还是国际证书,都在底层把它抽象成安全资产对象。那上层的预警监控,包括策略的配置,无需关注底层的异构,只需要通过上层的统一治理就能进行实现。


            第二我们通过开发环境适配库的能力,去解决这种部署形态的复杂情况。那在这里边我们针对不同的中间件、操作系统 F5的这样的设备,我们开发了大量的环境适配器。


            第三,我们制定了双证书的策略,如果遇到我们国内外这样一个双用户体系情况下,我们就可以自动发起双证书的申请流程,实现我们两张证书的适配,这是我们采用的三大策略。那么我们把底层相对复杂的这种逻辑,通过上层的分装,成为一个简单的接口、可视化的界面,给我们的运营人员提供证书的管理服务。



            03.png

            处理高频证书更新,如何确保每一次操作都万无一失,保障业务“永不间断”?对此,罗贇向FreeBuf记者详细阐释了天威诚信系统内置的 “三道防线” 安全机制。


            罗贇:我们主要会采用三道防线来解决客户的疑问。


            第一道防线就是模拟驾驶阶段。我们会对每一条执行的策略之前要进行策略的预检和整个策略执行的预览图。在这个过程中我们发起每一套自动化的策略之前,我们会对这条策略的合理性、有效性进行检测,同时我们会生成一个预览图,让我们的运维人员能看到这张证书是否按某条路径在进行执行的。


            第二道防线,其实我们构建了实时路况监测的模式。在这个模式下,首先我们所有环节的操作都会通过全链路日志审计记录下来,也可以通过全流程的可追溯,追溯到每个环节产生的操作。其次采用原子化操作,当我要对批量证书进行替换更新操作时,我首先会选择某一服务、某一证书,先进行单一环境策略执行,进行证书的替换,那么我再把所有的策略批量的推给其他服务器,实现全域自动化升级。当然如果中间出现任何一些故障的情况,我们的系统会自动叫停一些策略,同时防止故障蔓延。


            第三道防线就是安全着陆及自动化检测的能力。当我们所有的证书部署完成之后,我们的系统会自动启动全量监测服务,去验证每张证书及证书链完整性、验证证书是否匹配、验证外部访问是否正确。一旦出现访问失败,就进行一键回滚,回滚到上张证书的恢复状态,恢复业务、保证业务连续性。总而言之,我们的自动化系统不是在闷眼狂奔,更多的是给企业在一个全量监控和安全可靠的环境下进行的可靠的运行。



            展会同期,天威诚信方案及交付总监罗贇受邀出席由中国网络空间安全协会主办的网络安全数字创新发布活动,并发表了《让安全自动驾驶,打造全链路智能化SSL证书生态引擎》的主题演讲,进一步向业界分享了天威诚信在自动化数字信任领域的创新理念与实践成果。


            04.jpg


            在数字经济高速发展的今天,安全是发展的基石。天威诚信正通过持续的技术创新与产品迭代,将企业从日益繁重的证书管理压力中解脱出来,让安全如同“自动驾驶”般智能、可靠,为企业业务的顺畅运行和数字化转型保驾护航。


            上一篇:已是第一篇了 下一篇:天威诚信亮相2025全球互联网大会 | 全链路智能化SSL证书生态引擎发布
            关闭

            最新发布

            1. FreeBuf专访天威诚信罗贇 | 构建安全的SSL证书管理自动化
            2. 天威诚信亮相2025全球互联网大会 | 全链路智能化SSL证书生态引擎发布
            3. 天威诚信亮相2025全球创见者大会 | 数字信任如何成就新一代集团财资
            4. 天威诚信全新证书自动化管理系统将亮相世界互联网乌镇峰会
            5. 天威诚信邀您共赴金蝶2025全球创见者大会
            6. 天威诚信出席企业信息化建设沙龙 | 共绘集团企业数智化转型安全蓝图
            7. 携手华为共推新生态,天威诚信出席鸿蒙生态认证类SDK沙龙
            8. 再获殊荣 | 天威诚信荣登国家专精特新“小巨人”企业名单
            9. 《电子印章管理办法》出台,天威诚信以可靠电子签章助推数字化转型
            10. 中秋 | 月满人团圆,信守万家安

            相关推荐

            1. FreeBuf专访天威诚信罗贇 | 构建安全的SSL证书管理自动化
            2. 天威诚信亮相2025全球互联网大会 | 全链路智能化SSL证书生态引擎发布
            3. 天威诚信亮相2025全球创见者大会 | 数字信任如何成就新一代集团财资
            4. 天威诚信全新证书自动化管理系统将亮相世界互联网乌镇峰会
            5. 天威诚信邀您共赴金蝶2025全球创见者大会
            6. 天威诚信出席企业信息化建设沙龙 | 共绘集团企业数智化转型安全蓝图
            7. 携手华为共推新生态,天威诚信出席鸿蒙生态认证类SDK沙龙
            8. 再获殊荣 | 天威诚信荣登国家专精特新“小巨人”企业名单
            9. 《电子印章管理办法》出台,天威诚信以可靠电子签章助推数字化转型
            10. 中秋 | 月满人团圆,信守万家安

            服务热线:400-666-3999

            完善信息立即免费体验