SSL/TLS 证书

SSL/TLS 证书对传入和传出证书持有者网站的数据进行加密。Site24x7 的 SSL/TLS 证书监视器会执行多项检查,例如证书有效性(提前通知您域的 SSL/TLS 证书到期)、OCSP 检查(通知您任何被吊销的证书)和列入黑名单的检查(通知您有关任何潜在的列入黑名单的认证机构)。此外,您还可以设置SHA-1 指纹阈值来检测任何潜在的证书篡改。这样,您可以确保为您的网站访问者提供一个安全的环境,并提高您网站的可信度。

目录

添加 SSL/TLS 证书监视器

  1. 登录到 Site24x7。
  2. 单击管理>资源清单>监视器>添加监视器
  3. 添加监视器屏幕中选择SSL/TLS 证书
  4. 指定以下详细信息以添加此监视器:
    • 显示名称:提供一个名称以在仪表板中识别此监视器。
    • 主机和端口:指定主机的IP地址或域名,以及端口号。

      您可以配置 HTTPS、POPS、SMTPS、IMAPS、FTPS 等协议。主机必须接受端口上的 SSL/TLS 握手。

      HTTPS 的默认端口是 443。


    • STARTTLS: 启用此选项将在使用单个端口进行初始未加密连接后建立安全连接。

  5. 证书过期阈值:在证书过期前这么多天发出通知。当超出此阈值时,您的监视器就会出现问题。
  6. 跳过主机名验证:不验证证书上的主机名是否与上面指定的主机匹配。如果您指定了 IP 地址或与证书上不同的主机名,请启用此选项。
  7. 忽略信任证书路径: 使用此选项验证 SSL/TLS 证书链。如果您不希望识别有关主机证书的任何潜在吊销信息,请启用此选项。默认情况下,这将被禁用以允许检测主机证书的任何潜在撤销。
    当 SSL/TLS 证书信任检查失败时,可能是由于“自签名证书、中间证书丢失、中间证书链不正确”等情况。Site24x7 将在 Monitor Details Summary 选项卡中正确识别并突出显示此问题。对于任何其他情况,将显示默认消息。了解更多
  8. 强制 IP 地址:您可以在上面的主机字段中输入域名的 IP 地址。这个IP会直接解析,而不是先解析域名再解析IP。
  9. 监控位置:选择现有的位置配置文件或创建新的位置配置文件。SSL/TLS 证书检查将仅从主要位置执行。
    要了解更多信息,请参阅位置配置文件

     
  10. 监视器组:选择现有的监视器组或创建一个新的。监视器可以组织成监视器组以简化管理。 
    要了解如何为您的监视器创建监视器组,请参阅监视器组
  11. 依赖监视器:从下拉列表中选择一个监视器以将其指定为您的依赖资源。您最多可以添加 5 个监视器作为依赖资源。根据您的依赖资源的停机状态,将禁止向您的监视器发出告警。
    配置依赖资源并根据依赖资源的状态抑制告警是为您提供更好的错误告警保护的一部分。了解有关监视器级别告警抑制的更多信息

    如果您在相关资源字段中选择“”,则告警将按照您的正常配置设置进行。在这种情况下,不会抑制任何告警,因为监视器没有任何依赖资源。

    对监视器的多监视器组支持允许监视器与不同监视器组中的多个依赖资源相关联。如果在正常的监视器状态检查期间,这些依赖资源的任何一个状态被标识为停机,监视器的告警将被自动抑制。但是,监视器级别的依赖项配置总是比任何其他监视器组级别的依赖项配置具有更高的优先级,以抑制告警。
  12. 指定以下详细信息配置文件
    • 阈值和可用性:从下拉列表中选择预设阈值配置文件或创建阈值,以便在 SHA-1 指纹检查失败或证书过期之前获得通知。
    • 标签: 将您的监视器与预定义的标签相关联,以帮助创造性地组织和管理您的监视器。了解如何添加标签
    • IT 自动化:选择当网站关闭/故障/启动/任何状态更改/任何属性更改时要执行的自动化。当状态发生变化并提醒选定的用户组时,将执行定义的操作。
      要自动执行故障纠正措施,请参阅IT 自动化
    • 在计划维护期间排除 IT 自动化:使用复选框启用此选项并在维护期间排除自动化。

  13. 告警设置: 
    • 用户告警组:选择需要在中断期间发出告警的用户告警组。要在组中添加多个用户,请参阅 用户组
    • 执行的检查: Site24x7 执行以下检查以检测和验证 CA 颁发的证书是否有效、已取消或列入黑名单:
      • 证书有效性:检查 SSL/TLS 证书的可信度和有效性。为了验证颁发证书颁发机构 (CA) 的证书是否由信任的 CA 颁发,Site24x7 将尝试访问 最终用户证书和 CA 颁发的所有中间证书。如果发现 SSL/TLS 证书链无效或损坏,您的证书将被视为不受信任且无效。但是,如果可以建立安全连接,则证书将被视为可信且有效。
      • 在线证书状态协议 (OCSP) 检查: OCSP 检查有助于轻松验证 SSL/TLS 证书的撤销状态。Site24x7 使用证书的序列号查询发证机构的 OCSP 服务器,并根据响应检测证书是否被吊销。
      • 黑名单检查: Site24x7 通过与黑名单 CA 的可用列表进行交叉检查来检查您的 SSL/TLS CA 是否被列入黑名单。

    默认情况下,除 OCSP 检查外,上述所有检查都将自动执行。但是,只有在启用 Site24x7
    检测 SSL/TLS 证书链
    时,才能执行 OCSP 检查 。     
    • 通知配置文件:从下拉列表中选择通知配置文件或选择可用的默认配置文件。通知配置文件有助于配置在停机时需要通知的时间和人员。在通知配置文件表单中,您只能 自定义 用于停机/故障告警的电子邮件模板。默认情况下,其他参数将被禁用。
  • 第三方集成:将您的监视器与预配置的第三方服务相关联。它使您可以将监视器告警推送到选定的服务并促进改进的事件管理。如果您还没有设置任何集成,请导航到“管理 > 第三方集成”来创建一个。了解更多
  • 单击保存
    监视器设置完成后,Site24x7 深度发现向导会扫描您的域并自动检测您域的所有相关 Internet 资源,这些资源可以添加到您的帐户中,以进行全面的 Internet 服务监控。探索有关互联网服务深度发现的更多信息。
  • 详细了解 SSL/TLS 证书监视器的各种性能指标。要了解我们各种互联网服务监控功能之间的区别,请了解更多内容