OCI 证书监控
跨分区和环境管理证书是一项复杂的工作。一旦遗漏证书到期或删除事件,可能导致应用宕机或信任链失效。Oracle Cloud Infrastructure(OCI)证书是一项用于颁发、管理和续期 SSL TLS 证书及证书颁发机构(CA)的托管服务,通过处理证书生命周期操作来保障服务间的安全通信。
Site24x7 与 OCI 证书集成,可通过单一控制台全面了解证书生命周期和 CA 健康状态。与 OCI CA 的集成还提供以下子监视器:
- 证书:监控 CA 颁发的各个证书,包括证书使用年限、版本生命周期和到期时间线。
通过此配置,您可以在一处同时监控 CA 级别的健康状态和单个证书状态,帮助您及早发现风险,避免服务中断。
Site24x7 OCI 证书集成的优势
Site24x7 与 OCI 证书的集成为您带来以下优势:
- 主动到期监控:在证书或 CA 版本到期之前收到告警。
- 完整信任链可见性:在一处同时监控 CA 和证书。
- 集中监控:跨分区和区域跟踪证书状态。
- 生命周期跟踪:监控使用年限、有效期和删除时间线。
- 更快发现问题:及早识别风险,在影响发生前采取行动。
使用场景
某公司在 OCI 上运行多个面向客户的应用,包括使用私有 CA 颁发的 SSL TLS 证书保护的 Web 门户和 API。每个应用都依赖有效证书来建立安全连接。如果证书到期,用户可能会看到安全警告或无法访问服务。如果 CA 本身到期或被删除,其颁发的所有证书都将失效,导致更大范围的中断。
借助 Site24x7 的 OCI 证书集成,运维团队可以在一处同时监控 CA 和所有已颁发证书。当证书临近到期日(例如提前 30 天)时,团队将收到告警并可在影响用户之前完成续期。同时,团队还可以跟踪 CA 的有效期,确保信任链保持完整。这有助于团队避免意外宕机、维护安全通信,并遵守内部安全策略。
配置步骤
开始使用 OCI 证书监控,请完成以下配置步骤:
- Site24x7 使用跨租户访问,通过 Site24x7 的租户用户监控您的资源。登录您的 Site24x7 账户,创建特定策略以允许 Site24x7 查看您的资源,同时不影响您的安全设置。
- 在"集成 OCI 监视器"页面上,从待发现服务列表中选择 OCI 证书。
权限
确保 Site24x7 具有以下权限以监控 OCI 证书:
- read certificates
- read certificate-authorities
轮询频率
Site24x7 根据设定的轮询频率(从每分钟一次到每天一次)查询 OCI 服务级别 API,以从 OCI 证书监视器中采集指标。
支持的指标
以下是 OCI 证书颁发机构监视器支持的指标。
OCI CA
| 指标名称 | 描述 | 统计方式 | 单位 |
|---|---|---|---|
| CA Age | 自 CA 创建以来的时间。 | Time | Average |
| CA Time Of Deletion | 距删除的剩余时间。 | Time | Average |
| CA Version Age | 当前 CA 版本的使用年限。 | Time | Average |
| CA Version Remaining Validity | 距 CA 到期的剩余时间。 | Time | Average |
OCI 证书
| 指标名称 | 描述 | 统计方式 | 单位 |
|---|---|---|---|
| Certificate Age | 自证书创建以来的时间。 | Time | Average |
| Certificate Time Of Deletion | 距删除的剩余时间。 | Time | Average |
| Certificate Version Age | 当前版本的使用年限。 | Time | Average |
| Certificate Version Remaining Validity | 距到期的剩余时间。 | Time | Average |
阈值配置
为 OCI CA 和证书监视器配置阈值:
- 登录您的 Site24x7 账户,依次导航至管理 > 配置文件 > 阈值与可用性。
- 点击添加阈值配置文件。
- 从监视器类型下拉菜单中选择适用的监视器类型。适用的监视器类型为证书颁发机构和证书。"阈值配置"部分将显示支持的指标,您可以为上述所有指标设置阈值。
- 点击保存。
状态传播
Site24x7 的 OCI 证书集成支持状态传播,通过证书颁发机构监视器路由证书级别问题来帮助您管理告警。
启用状态传播后:
- 子监视器(如单个证书)的告警默认处于禁用状态。
- 来自证书监视器的状态变更告警将被抑制,除非您在编辑阈值页面中将跳过告警设置为否。
- 您将收到来自证书颁发机构监视器的单一告警,而不是来自每个证书的多个告警,从而减少告警噪音,更便于在信任链级别跟踪问题。
支持状态传播的子监视器的告警将自动禁用。
例如,如果 CA 颁发的某个证书临近到期或存在问题,证书颁发机构监视器将发出单一告警,表明该 CA 内存在问题,而不会为每个证书单独触发告警。
使用监视器组管理 OCI 证书
Site24x7 中的监视器组可帮助您根据 OCI 环境结构,对 CA 和证书监视器进行组织管理。您可以按应用、环境(如生产或预发布)或业务单元对监视器进行分组。当多个证书支持同一服务,或一个 CA 为不同应用颁发证书时,这一功能尤为实用。
借助此集成,监视器组可提供证书健康状态和依赖关系的集中视图。例如,您可以将与某个面向客户的应用绑定的所有证书及其颁发 CA 分组在一起,从而更直观地了解证书到期或 CA 问题对该应用的影响。同时,这也简化了告警管理,因为可以在组级别而非单个监视器上配置通知。
通过容量规划规划证书到期与续期
Site24x7 的容量规划功能可用于分析证书和 CA 生命周期随时间变化的趋势。虽然证书在传统意义上不消耗容量,但其有效期和轮换周期类似于可预测的时间型资源。
将此功能与 OCI 证书监控结合使用,您可以跟踪证书和 CA 版本的有效剩余时间,并识别续期周期中的规律,帮助团队提前规划续期,而非被动响应最后一刻的告警。例如,如果多个证书的到期时间集中在同一窗口,您可以以受控的方式安排续期,避免运营高峰期或错过截止日期。此功能还通过确保在各环境中一致遵循轮换策略来支持合规性管理。
授权
- 每个 OCI CA 和证书监视器使用一个基础监视器许可证。
查看 OCI 证书数据
要监控您的 OCI 证书环境,请登录 Site24x7 账户,依次导航至云 > OCI > 证书。
监视器数据
OCI 证书颁发机构
以下为 OCI 证书颁发机构的数据说明。
概览
概览选项卡提供事件时间线和指标的全面概述,以直观图表呈现 OCI 证书颁发机构监视器的性能状况。
配置
配置选项卡显示 CA 的核心配置详情,包括 CA 设置、当前版本详情、主题信息、规则配置和吊销详情。此选项卡帮助您了解 CA 的配置方式及其当前运行状态。
下级 CA
下级 CA 选项卡列出在所选 CA 下颁发的所有下级 CA,帮助您跟踪 CA 层级结构,了解信任在公钥基础设施中的分布方式。
OCI 证书
证书选项卡显示由该 CA 签署和颁发的所有证书,帮助您识别依赖证书并评估任何 CA 级别变更的影响。
关联
关联选项卡显示 CA 与其他资源的关联详情,帮助您了解 CA 在整个环境中的使用位置和方式。
版本
版本选项卡提供所有 CA 版本(包括历史版本和当前版本)的详情,帮助跟踪版本生命周期并支持轮换和合规性要求。
Zia 预测
Zia 预测选项卡基于历史时间序列数据,显示性能指标(资源使用量)的预测图表及未来走势。系统使用最多 30 天的历史数据,预测未来七天的指标使用情况。
中断
中断选项卡提供中断的开始时间、结束时间、持续时长及备注(如有)等详情。
备注
备注选项卡提供资源 ID、区域、监视器授权类别等详细信息。阈值与可用性配置文件和通知配置文件可由用户根据需要在此选项卡中进行设置和查看。
日志报表
日志报表选项卡提供 OCI 证书颁发机构监视器日志状态的汇总报告,可下载为 CSV 文件。
告警日志
告警日志选项卡按时间顺序列出与证书颁发机构监视器相关的所有已触发告警,帮助您追溯告警历史和严重程度,以评估问题并验证阈值设置。
OCI 证书
以下为 OCI 证书监视器的数据说明。
概览
概览选项卡提供事件时间线和指标的全面概述,以直观图表呈现证书监视器的性能状况。
配置
配置选项卡显示证书监视器的核心配置详情,包括证书设置、当前版本详情、主题信息、规则配置和吊销详情。此选项卡帮助您了解证书的配置方式及其当前运行状态。
关联
关联选项卡显示证书与其他资源的关联详情,帮助您了解证书在整个环境中的使用位置和方式。
版本
版本选项卡提供所有证书版本(包括历史版本和当前版本)的详情,帮助跟踪版本生命周期并支持轮换和合规性要求。
中断
中断选项卡提供中断的开始时间、结束时间、持续时长及备注(如有)等详情。
备注
备注选项卡提供资源 ID、区域、监视器授权类别等详细信息。阈值与可用性配置文件和通知配置文件可由用户根据需要在此选项卡中进行设置和查看。
日志报表
日志报表选项卡提供证书监视器日志状态的汇总报告,可下载为 CSV 文件。
告警日志
告警日志选项卡按时间顺序列出与证书监视器相关的所有已触发告警,帮助您追溯告警历史和严重程度,以评估问题并验证阈值设置。