每日一博 | 证书管理：从手工到平台化

全生命周期管理业务证书，我们建设的平台需具备以下特性和能力：

3.1 技术选型

（1）前端框架：

3.2 架构设计

证书管理平台整体架构设计：

3.3 模块设计

证书管理平台包含四个非常重要的子模块：

4.1 前端

4.2 后端

后端使用Go语言来编写业务逻辑和API接口。其中架构可以参考3.2设计图，管理平台核心逻辑通过代码片段展示如下：

（1）基于casbin实现的权限管理：通过角色控制权限，并按需赋予用户角色默认访问权限（如下图创建角色时AddMenuAuthority、UpdateCasbin方法）。

（2）证书相关数据加密处理：获取前端用户选择的相关算法进行加密。

（3）基于证书管理标准化流程的业务代码实现，覆盖证书的信息管理&变更推送&监控告警&平台的角色权限控制。

经过多个开发迭代，平台相关的核心功能如下：

5.1 证书信息概览

概览首页收敛证书管理的功能入口，以及收纳管理证书的全貌，方便管理员了解所管理的证书状态和最近的申请进度。

5.2 证书信息管理

汇总了目前内销所有证书信息，后续平台上申请的证书信息管理也会收敛于此，并提供证书私钥相关的查看和下载。 

5.3 证书申请/续期

通过平台场景化证书申请续期的操作，解决过往碎片化操作以及无经验人员需通过文档阅读或者人员指导完成证书申请问题。

5.4 证书变更管理

平台覆盖云上、NGINX 集群、CDN 以及 VUA 的证书白屏化、可追溯操作历史更新能力。

5.5 证书监控

收敛在平台上管理的证书都会有逾期监控提醒，来提醒运维人员及时完成对应的证书更新管理，确保业务不受影响。

证书管理平台的实践落地，通过流程标准化以及管理平台的建立，规范证书的信息、变更、告警、变更审计相关管理，上线后至今，也无证书管理相关的问题导致的可用性告警，解决了传统域名证书管理场景下人效、可用性隐患的痛点，是业务运维 SRE 可用性保障&运维提效的一个成功案例。

目前我们获取的证书，依旧依赖于传统的域名证书分发模式(站点管理员需要花费金钱购买数字证书，并且证书的签发和更新需要时间和人力成本)。随着区块链和Web 3.0技术的发展，新增了去中心化身份验证和身份管理技术，在证书的分发上具备以下优势：