什么是证书管理器？

发表于 2025 年 8 月 6 日，星期三

证书管理工具用于管理数字安全证书的生命周期，包括签发、续期和吊销。这涉及对证书颁发机构（CA）的编排，而这些机构之间通常存在层级关系。

证书是一个广为人知但普通开发者却很少真正理解透彻的技术主题。大多数开发者尤其熟悉网站用于实现安全通信的 SSL 证书；同样的机制也普遍用于保护企业内部应用、服务和设备之间的通信，包括内部端点。然而，企业拥有成千上万个端点，如此大量证书的管理需要更加定制化的方案。对于这些公司来说，专用的证书管理工具是必要的。

为了更好地理解证书管理系统，我们将先介绍一些基础主题：证书如何工作、证书颁发机构的作用，以及为什么企业依赖私有证书颁发机构。证书管理工具的支持能力各不相同，因此，理解这些相对独立的部分，对于全面把握这些产品之间的差异是必要的。

什么是数字证书？

数字证书是一种数据记录——通常遵循 ITU 制定的 X.509 标准——它将主体身份（例如域名、个人或组织）与公钥绑定在一起。证书由受信任的证书颁发机构（CA）签发，该机构既可以是公共实体，也可以是私有实体。证书不是永久的，也不是无限期有效的。相反，它们会在预定义的有效期后过期，并且具有使用约束。

证书的主要目的是让主体与另一实体建立信任；在传输数据之前，该外部实体会通过证书颁发机构验证主体的公钥。在大多数情况下，双方实体都持有证书，并使用这些证书相互验证（例如 mTLS 连接）。一个很好的类比是身份证件：证书类似于驾驶执照；而证书颁发机构则类似于车管所，可以被信任来验证执照是否合法。

数字证书如何工作？

数字证书是将公钥绑定到某个身份（域名、服务或用户）的密码学证明，这种技术被称为公钥基础设施（PKI）。PKI 使用公钥/私钥对：私钥由所有者保密，而公钥则被广泛分发。

什么是证书颁发机构？

证书颁发机构（CA）负责验证所有权并签发证书。CA 有两种类型：(i) 根 CA 是信任锚点，而 (ii) 中间 CA 则在不暴露根 CA 的情况下进行大规模签发委派。这会形成一条信任链——客户端通过中间 CA 验证证书，而中间 CA 再将验证上溯至根 CA。

为什么组织会建立私有证书颁发机构？

最广为人知的证书颁发机构是公共的。例如，SSL 依赖公共证书颁发机构，以便网站能够在 Internet 上建立信任。然而，企业内部涉及许多私有网络中各实体之间的连接。对于这些实体，使用私有证书颁发机构具有一些关键优势。

首先，私有证书颁发机构可以为任何对象签发证书。这包括那些没有公共身份的实体，例如 Kubernetes 服务、IoT 设备，甚至打印机。

其次，私有证书颁发机构可以完全定制。这意味着密钥大小和算法可以根据组织的安全偏好进行调整，有效期可以匹配实际需求（包括极短生命周期的凭证），并且 CA 可以通过符合组织合规准则的审批工作流进行治理。证书还可以被设置为自动轮换，从而降低因私钥泄露而导致安全事件的概率。

最后，私有证书颁发机构可以按照最适合组织的方式进行部署。例如，一个组织可以将根 CA 保持离线，使其与主 VPC 隔离，仅允许由隔离在各个地理区域或环境中的中间 CA 访问。这样一来，如果某个中间 CA 停止运行，影响范围也会被最小化，因为依赖它的服务更少。

然而，如果没有工具支持，这种分布式基础设施会变得难以管理。虽然中间、隔离的 CA 有助于降低大规模、平台级中断的风险，但它们也会产生多个需要监控的独立实体。证书管理工具正是为了解决这一挑战。

糟糕证书管理的现实成本

让我们更具体地说明那些使证书管理变得繁琐的实际问题。

手动管理和人为错误

跟踪证书最基础的方法是使用某种形式的电子表格或汇总记录。然而，如果这些记录是手动更新的，它们就可能过时，并向其他人错误地传达组织当前的安全态势。

证书过期和服务中断

过期证书是可避免中断的首要原因。Web 服务器上一个过期的 TLS 证书就可能导致用户登录、API 调用或支付流程中断，立即影响收入和客户信任。在分布式系统中，一个失效的 mTLS 凭证可能引发级联效应，导致难以诊断的局部中断。

然而，由于过期是确定性的，这些事件可以通过证书管理工具轻松预防。

合规与审计失败

法规和框架越来越要求对密码材料具备可证明的控制能力。例如，PCI DSS v4 要求组织拥有受信任证书的受管清单。ISO 27001 要求建立健全的框架来签发公钥证书。甚至美国国防部的 CMMC 标准也有关于证书的规定。

当证书管理是分散的，维持合规会变得成本高昂且容易出错。审计人员期望证书管理是有组织且可见的。

证书管理器做什么？

一个常见的困惑点是，证书管理工具是否负责维护证书颁发机构（CA）。这部分是因为“证书管理工具”是一个比明确产品类别更模糊的术语。一些流行的证书管理工具专注于证书清单管理。其他产品，例如 Infisical，则被设计为端到端的：建立证书颁发机构层级、与外部证书颁发机构集成，并在整个生命周期中管理证书。

广义上讲，证书管理工具为证书管理提供了不同层次的结构化能力，但通常都通过密切关注系统中的证书，帮助组织避免生产环境中出现证书过期的问题。

什么样的证书管理工具才算优秀？

某些特性会让一些证书管理器对安全团队而言比其他产品更全面。

中心化可见性与控制

任何证书管理工具都需要提供可见性，让你了解有哪些证书存在、它们被用于何处、由谁拥有，以及最重要的——它们何时过期。理想情况下，这些数据是可搜索的，并可用于执行健康检查。

自动化证书签发与续期

优秀的证书管理工具不止于清单管理，它们还能验证新证书在旧证书退役前已处于可用状态。这样，在证书轮换时，就不会发生停机。

与多个 CA 和系统集成

企业很少只有一个 CA 或一个环境。优秀的证书管理工具支持多个 CA——公共和私有——并且能够处理根 CA 和中间 CA，同时具备清晰的信任策略。

CA 管理

最具定制能力的证书管理工具，例如 Infisical，可以配置完整的证书颁发机构层级，包括遵循 X.509 的根 CA 和中间 CA。这是一种端到端的方法，证书追踪和证书颁发机构配置都在同一平台上完成。

临时证书

像 Infisical 这样健全的证书管理平台可以签发临时证书，例如短生命周期的 SSH 证书，以提供即时（JIT）访问。这些临时凭证允许用户仅在实际需要的时间内访问某个目标面；凭证会迅速过期，从而防止攻击者在之后利用它们。

Infisical：不止是一个证书管理解决方案

端到端的 secrets 与证书生命周期管理

Infisical 将证书管理和 secrets 管理统一到一个生命周期管理平台中。团队可以签发、续期、轮换和吊销证书——同时也能管理 API key、Token 和应用 secrets——所有这些都具备强大的访问控制和审计跟踪。

无论你是完全本地部署、在单一云中，还是分布于多云环境中，Infisical 都提供由策略驱动的自动化和一致的控制平面。通过将证书和 secrets 视为一等对象，Infisical 统一了安全运营。

为 DevOps、云和 CI/CD 团队而构建

Infisical 可以轻松部署到内部服务器和云基础设施中。工程师获得了用于自动化证书和 secret 管理的直观工具；平台团队获得了策略、可见性和防护栏；安全团队获得了可审计的控制能力。最终结果是，这是一种能够加速交付而不是拖慢交付的管理解决方案。

将 Infisical 与其他证书管理器进行比较

功能

与典型的证书管理器相比，Infisical 的独特之处在于，它是一个完全集成的证书、secrets 和特权访问管理平台。它帮助保护 Infisical 中多种类型的凭证和敏感资源（包括 API key、证书、临时数据库访问、即时基础设施访问等）。

开源透明性 vs. 传统厂商

Infisical 的开源基础提供了透明性以及社区驱动的速度，这是传统厂商难以匹配的。

结束语

在当今 AI 时代，许多开发者应用都在重新评估它们是否能在 LLM 驱动工具兴起后继续存在。毕竟，许多工作流正在被动地自动化，不再需要一个管理系统。

然而，对于证书管理软件这类关键安全产品来说，情况并非如此。虽然证书管理软件确实有通过利用 AI 来标记异常的提升空间，但它仍将是企业基础设施中的关键组成部分。证书是端点之间安全交互的主要方式，而像 Infisical 这样的平台，对于那些需要满足商业和监管要求以实现扩展的组织而言，是至关重要的。

Mathew Pregasen

技术写作者，Infisical

• 原文链接： infisical.com/blog/what-...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～