監控憑證

Certificate Manager (第 2 代) 總覽資訊主頁可協助您維持安全無虞的憑證環境。您可以使用資訊主頁找出即將到期的憑證、稽核安全防護機制,以及追蹤核發趨勢。

總覽資訊主頁包含下列監控圖表:

  • 過去 7 天內核發的憑證數量:追蹤過去 7 天內核發的憑證總數。
  • 依授權類型核發的憑證:依授權類型 (公開、私人或不明) 分組憑證。
  • 依地點核發的憑證:依部署地點,以地理位置排序憑證。
  • 即將到期的憑證:顯示會在 7 天和 30 天內到期的憑證。

事前準備

  1. 登入 Google Cloud 帳戶。如果您是 Google Cloud新手,歡迎 建立帳戶,親自評估產品在實際工作環境中的成效。新客戶還能獲得價值 $300 美元的免費抵免額,可用於執行、測試及部署工作負載。

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Certificate Authority Service, Certificate Manager APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Certificate Authority Service, Certificate Manager APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    8.

必要的角色

如要取得監控憑證所需的權限,請要求管理員在專案中授予您下列 IAM 角色:

如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。

您或許也能透過自訂角色或其他預先定義的角色,取得必要權限。

存取總覽資訊主頁

如要存取資訊主頁並查看認證指標,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「Certificate Manager」頁面。

    前往 Certificate Manager 總覽資訊主頁

  2. 選用:如要調整時間範圍,請使用資訊主頁右上方的時間選取器。根據預設,資訊主頁會顯示過去 7 天的指標。

資訊主頁資料每 24 小時更新一次。

監控憑證健康狀態和到期日

這個資訊主頁提供的指標專門用於長期憑證,也就是效期超過 72 小時的憑證。

Certificate Manager (第 2 代) 會排除短期憑證 (效期少於 72 小時),因為這類憑證會頻繁自動輪替,不需要像長期憑證一樣進行手動監控。

如要監控需要手動介入的即將到期憑證,請按照下列步驟操作:

  1. 在資訊主頁上找出「即將過期的憑證」圖表。
  2. 查看即將到期的憑證警告。
  3. 如果收到憑證即將到期的警告,請使用憑證 ID 搜尋目錄,確認是否已完成更換。詳情請參閱「篩選憑證清單」。

稽核憑證庫存

在所選時間範圍內,使用資訊主頁的「廣告空間指標」部分,稽核環境中的有效憑證。

如要稽核商品目錄,請依下列條件查看憑證:

  • 依資源查看有效憑證:根據核發憑證的 Google Cloud 資源追蹤憑證數量。Certificate Manager (第 2 代) 會識別由代管 Workload Identity 或負載平衡核發的憑證;透過憑證授權單位服務核發的其他憑證則會歸類為「未指定」。詳情請參閱「支援的服務」。
  • 依金鑰演算法查看有效憑證:依憑證的葉片金鑰演算法 (例如 RSA 或 ECDSA) 分組,稽核加密標準。確保符合貴機構的安全性政策。
  • 依金鑰用途設定檔查看有效憑證:依憑證的預期用途分組。Certificate Manager 會根據最接近的相符設定檔標記憑證。如果無法判斷個人資料,系統會標示為「其他」

如要查看上述任一類別的具體認證,請按一下「查看認證」開啟目錄頁面。

追蹤憑證核發趨勢

使用「核發指標」圖表,監控設定的服務在一段時間內產生憑證的情況。這種做法有助於追蹤成長情況,並找出潛在的發卡異常狀況。

如要追蹤發行趨勢,請監控下列指標:

  1. 按地點核發的認證:觀察各地點核發的認證數量,瞭解認證數量的地理分布。
  2. 依授權單位類型核發的憑證:觀察公開 CA (例如 Public Certificate Authority) 與私人 CA (例如 CA 服務) 核發的憑證數量。
  3. 核發的憑證總數:監控所選時間範圍內核發的憑證總數,瞭解環境規模。

後續步驟