SSL/TLS 证书监控

SSL/TLS 证书可加密证书持有者网站与用户之间传输的数据。Site24x7 的 SSL/TLS 证书监视器执行多项检查：证书有效性检查（提前通知您域名 SSL/TLS 证书即将到期）、OCSP 检查（通知您任何已吊销的证书）以及黑名单检查（通知您任何潜在被列入黑名单的证书颁发机构）。此外，您还可以设置 SHA-1 指纹阈值，以检测潜在的证书篡改行为。通过这些手段，您可以确保为网站访问者提供安全的环境，同时提升网站的可信度。

添加 SSL/TLS 证书监视器

1. 登录 Site24x7。
2. 点击管理（Admin） > 清单（Inventory） > 监视器（Monitor） > 添加监视器（Add Monitors）。
3. 在"添加监视器（Add Monitors）"页面中，选择 SSL/TLS 证书（SSL/TLS Certificate）。
4. 填写以下详细信息以添加此监视器：
   • • 显示名称（Display Name）：提供一个名称，以便在仪表板中识别此监视器。
     • 主机和端口（Host and Port）： 指定主机的 IP 地址或域名以及端口号。您可以配置 HTTPS、POPS、SMTPS、IMAPS、FTPS 等协议。主机必须在该端口上接受 SSL/TLS 握手。
       
       说明

       HTTPS 的默认端口为 443。

     • 批量添加主机/IP（Add Bulk Hosts/IPs）：
       如果您希望批量添加更多主机或 IP 进行监控，可以点击"主机和端口（Host and Port）"字段旁边的批量添加主机/IP（Add Bulk Hosts/IPs）链接。
       • 持续检查（Continuous Check）
         • Google Sheets
           您也可以添加包含 URL 列表的 Google 表格进行监控。要添加 Google 表格，可以使用以下格式。示例：https://sheet.zoho.com/api/v2/download/?method=workbook.download&format=csv
           * sheetName-Sheet1
           * sheetId-Unique Id
           * apiKey-Created API key
           
           阅读文档了解如何创建 API 密钥。 
         • CSV
           您也可以以 CSV 格式提交 URL。点此了解更多关于 CSV 格式提交的信息。要查看已导入的监视器，可以依次进入管理（Admin） > 导入监视器（Import Monitors）。在"导入监视器（Import Monitors）"页面上，您可以选择禁用或启用导入流程。使用持续检查方式添加的监视器将带有 System 标签。您也可以直接添加 URL。
         • URL
           通过爬取方式，提交 URL 中包含的所有 URL 都将被选中进行监控。 
           • 上传文件（Upload File）：您可以选择使用此选项将 URL 以文件形式批量提交。 
           • 手动（Manual）：您可以选择使用此选项直接上传 URL。通过添加域名到期监视器来检查域名的到期日期。
         • 子域名发现（Subdomain Discovery）
           添加一个域名，以自动发现并监控其下的所有子域名。系统定期扫描该域名，添加新发现的子域名并暂停不活跃的子域名。所有添加均在您的许可证限额内进行。这样无需人工干预，即可持续、自动地跟踪域名的子域名情况。
           例如，如果您输入 https://subdomain.example.com，系统将发现并监控 a1.subdomain.example.com、b2.subdomain.example.com 等相关子域名。
           
     • STARTTLS： 启用此选项后，将在初始未加密连接后，通过单个端口建立安全连接。
     • 证书到期阈值（Certificate expiry threshold）：在证书到期前提前若干天发出通知。当超过该阈值时，您的监视器状态将变为"故障"。
     • 跳过主机名验证（Skip hostname verification）：不验证证书上的主机名是否与上方指定的主机匹配。如果您指定的是 IP 地址或与证书上不同的主机名，请启用此选项。
     • 忽略信任证书链（Ignore trust certification path）： 使用此选项验证 SSL/TLS 证书链。如果您不希望识别主机证书的任何潜在吊销信息，请启用此选项。默认情况下，此选项处于禁用状态，以允许检测主机证书的任何潜在吊销情况。
       
       说明

       当 SSL/TLS 证书信任检查失败时，可能是由于以下情况：自签名证书、中间证书缺失或中间证书链不正确。Site24x7 将在监视器详情摘要（Monitor Details Summary）选项卡中正确识别并突出显示此问题。对于其他情况，将显示默认消息。

     • 强制 IP 地址（Force IP Address）：您可以输入上方主机字段中域名对应的 IP 地址。这样系统将直接解析到该 IP，而不必先解析域名再获取 IP。
     • 监控位置（Monitoring locations）：选择现有的位置配置文件或创建新的位置配置文件。SSL/TLS 证书检查仅从主要位置执行。
       
       说明

       如需了解更多信息，请参阅位置配置文件。

     • 监视器组（Monitor Groups）：选择现有的监视器组或创建新的监视器组。可将监视器整理到监视器组中，以简化管理。 
       要了解如何为您的监视器创建监视器组，请参阅监视器组。
     • 依赖监视器（Dependent on monitor）：从下拉列表中选择一个监视器，将其指定为依赖资源。您最多可以添加 5 个监视器作为依赖资源。当依赖资源处于宕机状态时，对该监视器的告警将被抑制。
       
       说明

       • 配置依赖资源并根据依赖资源状态抑制告警，是为您提供更好的误报防护措施的一部分。了解更多关于监视器级别告警抑制的信息。
       • 如果在依赖资源字段中选择无（None），告警将按照您的正常配置设置进行。在这种情况下，由于监视器没有依赖资源，不会抑制任何告警。
       • 监视器支持多监视器组，允许一个监视器与不同监视器组中的多个依赖资源相关联。如果在正常监视器状态检查期间，任何一个依赖资源的状态被识别为宕机，则该监视器的告警将自动被抑制。但是，监视器级别的依赖配置的优先级始终高于任何其他监视器组级别的依赖配置。
5. 填写以下配置文件（Configuration Profiles）详情：
   • 阈值和可用性（Threshold and Availability）： 从下拉列表中选择预设的阈值配置文件，或创建阈值以在 SHA-1 指纹检查失败或证书即将到期时收到通知。
     
     说明

     了解更多关于为 SSL/TLS 证书设置阈值配置文件的信息。

   • 标签（Tags）： 将监视器与预定义的标签关联，以便有创意地组织和管理监视器。了解如何添加标签。
   • IT 自动化（IT Automation）：选择在网站宕机/故障/恢复/任何状态变更/任何属性变更时执行的自动化操作。当状态发生变化时，将执行所定义的操作，并向所选用户组发送告警。
     要自动执行故障修复操作，请参阅 IT 自动化。
   • 在计划维护期间排除 IT 自动化（Exclude IT Automation during Scheduled Maintenance）： 使用复选框启用此选项，以在维护期间排除自动化操作。
     
     
6. 告警设置（Alert Settings）： 
   • 用户告警组（User Alert Group）：选择在中断期间需要接收告警的用户告警组。要在组中添加多个用户，请参阅用户组。
   • 执行的检查（Checks Performed）： Site24x7 执行以下检查，以检测和验证 CA 颁发的证书是否有效、已吊销或已被列入黑名单：
     • 证书有效性（Certificate Validity）： 检查 SSL/TLS 证书的可信度和有效性。为验证颁发证书颁发机构（CA）的证书是否由受信任的 CA 颁发，Site24x7 将尝试访问终端用户证书及所有中间证书。如果 SSL/TLS 证书链被认定为无效或断开，则该证书将被视为不受信任且无效。但是，如果能够建立安全连接，则该证书将被视为受信任且有效。
     • 在线证书状态协议（OCSP）检查： OCSP 检查可方便地验证 SSL/TLS 证书的吊销状态。Site24x7 使用证书的序列号查询颁发 CA 的 OCSP 服务器，并根据响应检测证书是否被吊销。
     • 黑名单检查（Blocklisted Checks）： Site24x7 通过与可用的黑名单 CA 列表进行交叉核对，检查您的 SSL/TLS CA 是否被列入黑名单。
       
       说明

       默认情况下，除 OCSP 检查外，以上所有检查都会自动执行。但是，只有在启用 Site24x7 检测 SSL/TLS 证书链后，才能执行 OCSP 检查。

   • 值班表（On-Call Schedule）：值班表选项可帮助您确保在特定班次时间向被分配人员发送通知，从而快速响应告警或事件。从下拉菜单中选择您偏好的值班表。
   • 通知配置文件（Notification Profile）：从下拉菜单中选择通知配置文件，或选择可用的默认配置文件。通知配置文件有助于配置在宕机时通知的时间和对象。在通知配置文件表单中，您只能为宕机/故障告警自定义电子邮件模板。其他参数默认情况下将被禁用。
   说明

   无论您配置的值班班次如何，只要监视器与用户组关联，您就可以收到告警。

7. 第三方集成（Third-Party Integration）：将您的监视器与预配置的第三方服务关联。这可以让您将监视器告警推送到所选服务，并促进改善事件管理。如果您尚未设置任何集成，请导航到管理（Admin） > 第三方集成（Third-Party Integration）以创建集成。了解更多。
8. 点击保存（Save）。
   
   说明

   监视器设置完成后，Site24x7 深度发现向导将扫描您的域名，并自动检测所有相关互联网资源，以便将其添加到您的账号以进行全面的互联网服务监控。了解更多关于互联网服务深度发现的信息。