如何审计公司内部所有域名证书的过期情况？

用户要审计公司内部所有域名的  SSL  证书过期情况，核心目标是变“被动救火”为“主动管理”，避免因证书过期导致业务中断或安全风险。针对不同规模和技术栈的公司，这里有四种主流的实现方案，你可以根据实际情况选择或组合使用。

四种审计方案对比

方案类型      核心工具/平台        优点        缺点      适用场景

专业平台方案            证书颁发机构  (CA)  企业管理平台（如GlobalSign企业平台）、云厂商监控服务（腾讯云SSLPod、华为云域名证书监控）  功能全面，支持统一查询、多级预警、合规报告；零开发成本，即开即用。    通常需要付费；可能无法覆盖所有云环境和自建机房的所有证书。      证书数量多、来源复杂、对合规要求高、预算充足的中大型企业。  

开源监控方案        监控系统集成：Zabbix  +  自定义脚本、Prometheus  +  cert-manager-exporter（用于K8s环境）<br>专用监控工具：CheckCle、Uptime  Kuma      灵活性强，可深度定制；数据自主掌控；成本低（主要是人力成本）。    需要一定的开发和维护能力；预警和可视化效果可能不如商业平台。  技术团队较强、已有成熟监控体系（如Zabbix/Prometheus）、追求自主可控的企业。  

脚本轮询方案          网络扫描：Nmap  +  `ssl-cert`脚本<br>**命令工具：`openssl  s_client`、`testssl.sh`、Python库（如`certmonitor`）    轻量级，无额外依赖；可快速编写脚本实现批量检查；适合一次性或临时审计。  难以管理大规模证书；缺乏历史数据和可视化告警；需要自己处理并发和超时。    小型公司、证书数量较少、或仅需临时进行全量检查的场景。  

主动发现方案          证书透明度日志监控（如`phisher-ctmonitor`）    可以发现未经备案的“影子”证书，覆盖所有公开签发的证书。    无法监控内部CA签发的私有证书；数据量大，需要过滤；主要是发现而非状态监控。        作为其他方案的补充，用于安全审计，发现未知或恶意的证书签发行为。  

关键实操建议

无论选择哪种方案，要确保审计有效且不漏过任何证书，这几个环节需要特别留意：

1.    全面发现，不留死角

        问题：最容易遗漏的不是已知域名，而是隐藏在负载均衡、CDN、容器环境或已下线服务器中的证书，以及业务扩张产生的新子域名。

        对策：

                定期扫描**：可以周期性使用子域名扫描工具（如Sublist3r）配合Nmap，主动发现所有对外开放的443（或其它自定义）端口，将发现的域名/IP与现有监控列表比对，查漏补缺。

                API集成：对于阿里云、AWS等云平台，通过API自动拉取SLB、CDN等产品关联的证书，可以避免遗漏云上资产。

2.    配置分级预警机制

        不要等到最后一周才告警。可以参考企业级实践设置三级预警，给续期和更新留足处理时间：

                一级预警（到期前90天）：通知运维团队，启动续期评估。

                二级预警（到期前60天）：触发续期流程。

                三级预警（到期前30天）：高频提醒，若仍未处理则升级通报。

              同时，建议配置多渠道通知（如邮件+钉钉/微信），避免单一通知渠道故障导致预警失效。

3.    验证续期结果

              证书续期后，务必进行“部署核查”。有时证书更新了，但服务器或CDN节点上的旧证书未替换，会导致服务依旧不可用。可以通过监控平台或脚本，批量校验所有部署节点的证书版本是否一致。

用户主要想监控云上的证书，还是自建机房的？告诉我具体环境，我来帮你推荐最顺手的那套方案。