在互联网时代，SSL证书是保障网站安全的“数字身份证”，一旦过期，轻则导致用户访问时出现警告弹窗，重则引发业务中断甚至数据泄露。如何用Prometheus自动化监控SSL证书到期时间？ 将用大白话+实战案例，带你从零搭建一套低成本、高可靠的预警系统。

一、为什么需要监控SSL证书到期？

真实案例：2025年，某电商平台因SSL证书过期未及时更换，导致全站被浏览器标记为“不安全”，2小时内损失超千万订单。手动检查证书不仅效率低，还容易遗漏——这就是我们需要自动化监控的原因。

SSL证书的三大死亡陷阱：

1. 隐形杀手：多数证书有效期仅1年（如Let's Encrypt甚至只有90天）

2. 连锁反应：一个子域名证书过期可能影响全局API调用

3. 人为失误：团队交接时容易遗漏续费提醒

二、Prometheus为什么是最佳选择？

对比传统方案（如人工表格记录、商业监控工具），Prometheus的优势在于：

- 免费开源：不像某些商业软件按域名收费

- 生态强大：通过`blackbox_exporter`+`ssl_exporter`即可实现

- 联动告警：可对接Alertmanager发送邮件/钉钉/企业微信

技术栈示意图：

```

SSL证书 → blackbox_exporter（探测） → Prometheus（存储） → Grafana（展示） → Alertmanager（告警）

三、手把手搭建监控系统（含代码片段）

步骤1：部署blackbox_exporter

这是Prometheus生态中专用于网络探测的工具，配置文件示例：

```yaml

modules:

http_2xx:

prober: http

timeout: 5s

http:

method: GET

preferred_ip_protocol: "ipv4"

tls_config:

insecure_skip_verify: false

必须设为false才能验证证书

步骤2：配置Prometheus抓取任务

scrape_configs:

- job_name: 'ssl_monitor'

metrics_path: /probe

params:

module: [http_2xx]

static_configs:

- targets:

- https://example.com

要监控的域名

- https://api.example.com

relabel_configs:

- source_labels: [__address__]

target_label: __param_target

- source_labels: [__param_target]

target_label: instance

- target_label: __address__

replacement: blackbox-exporter:9115

exporter地址

步骤3：关键指标解读

当系统运行后，你会看到类似指标：

probe_ssl_earliest_cert_expiry{instance="https://example.com"} 1.763254e+09

这个数字是Unix时间戳，转换成人类可读日期：

```bash

date -d @1763254000

输出：2025年11月15日 00:00:00 CST

四、进阶优化技巧

技巧1：动态发现目标（告别手动维护）

对于拥有数百个域名的企业，推荐结合Consul或Kubernetes服务发现：

- job_name: 'ssl_k8s'

kubernetes_sd_configs:

- role: ingress

自动发现K8s Ingress资源中的域名

技巧2：Grafana可视化模板

导入现成仪表盘（ID：13230），效果如下图：

[此处描述仪表盘截图内容]

- 红黄绿三色标识：剩余30天标红/60天标黄/其他绿色

- 多维度筛选：按业务部门、证书颁发机构(CA)分类

技巧3：精准告警规则

避免频繁骚扰的同时不漏警：

alertmanager.rules.yml

groups:

- name: ssl-alerts

rules:

- alert: SSLCertExpiringSoon

expr: probe_ssl_earliest_cert_expiry - time() < 86400 * 30

30天阈值

annotations:

summary: "SSL证书即将过期 (instance {{ $labels.instance }})"

description: "{{ $labels.instance }}的SSL证书将在{{ humanizeDuration $value }}后过期"

五、避坑指南

1. 内网证书问题

CA签发的公网证书可直接验证，但内网私有CA需额外配置：

```yaml

tls_config:

ca_file: /path/to/internal-ca.pem

```

2. 多级代理干扰

如果网站经过CDN或负载均衡，建议同时监控：

- CDN边缘节点（如`curl https://example.com --resolve example.com:`）

- Origin源站IP

3. 时间同步陷阱

确保所有服务器时钟同步！曾有个经典故障——本地时间慢5分钟导致“提前”告警。

通过这套方案，某金融客户将SSL相关故障率降低98%。运维团队现在每天只需查看一次告警面板，再也不用提心吊胆地翻日历了。记住：安全不是靠运气，而是靠可观测性。

> 延伸思考题

> Q1. Let's Encrypt的短期证书策略反而促进了自动化运维的发展？

> Q2. EV扩展验证型证书需要额外监控哪些信息？

TAG:prometheus监控ssl证书到期,ssl证书到期时间查询,ssl证书过期立刻无法访问吗,ssl证书到期有什么影响