Netflix发布证书管理框架Lemur

作为一家视频租赁供应商，Netflix近些年开始越来越多的通过网络来来为用户提供电影和电视节目。如何保证这些基于不同硬件和软件的设备在传输用户信息、视频信息时的安全是一个极大的挑战。为此，Netflix在HTTPS和NTBA这两种安全机制的基础上，近期又提出了消息安全层的概念。然而，如何管理复杂加密协议中的证书又成为了困扰很多用户的问题。近日，Netflix宣布推出了开源的x.509证书管理框架——Lemur，来为证书生成、部署和管理提供便利。

提到加密通信，公钥基础设施（PKI，public key infrastructure）是不可避免的概念。PKI的核心组件包括发行和验证数字证书的证书授权中心（Certificate Authority，CA）、公钥证书（Public Key Certificate）和私钥（Private Key）。其通过使用从CA获得和共享的公钥和私钥来实现数据的安全交换。Neflix的工程师Kevin等给出了一个使用HTTPS协议的情况下获得和部署证书的例子。通常情况下，该过程包含以下5个步骤。

1. 生成证书注册请求（Certificate Signing Request，CSR）。作为一个加密的请求，CSR包含了省份、地点、组织名称等请求机构的信息以及请求的原因。通常情况下，开发人员需要使用OpenSSL命令来生成CSR。然而，OpenSSL命令包含了大量的可选择项。一旦使用错失误，生成的私钥就会存在风险。
2. 提交CSR。开发人员需要把CSR提交到CA，来获得证书。然而，这一步也经常会出现问题。很多大的机构都存在内部CA和外部CA。二者分别负责内部通信和外部通信的信息加密和安全。尤其是外部CA，肩负着面向互联网通信的安全重任。但是，二者责任划分并不是那么明确，使得开发人员很多时候并不清楚应该把CSR提交到哪个CA。
3. 批准CSR。作为关键性的一步，安全工程师会人工仔细审查CSR的信息，确保信息正确、有效。
4. 部署证书。获得证书后，工程师需要将其部署到相应的服务器中。一般情况下，工程师会反复确认证书和密钥配置正确，并放置在安全的位置，以确保通信的安全。
5. 存储私密信息。该步骤可选，但对于私密信息的恢复十分重要。存储的同时，工程师就需要考虑密钥是否需要重新部署等。

Lemur包含了几个核心的概念：颁发者、目的点、源点和通知。其中，颁发者指内部或第三方的CA、目的点指证书部署的目标、源点指任意的证书仓库、通知指订阅者感知证书变化的方式。

在使用Lemur时，开发人员管理和部署证书的步骤简化为只有一步——发出网页请求。Lemur会根据请求自动联系CA来获得证书，并自动部署。最后，在证书发生变化时，Lemur自动向安全工程师发送通知。Lemur提供了非常友好的图形界面，来为输入提供建议和自动校验。Lemur的目的点插件使得开发人员可以自己挑选上传证书的环境。而其源点插件使得Lemur能够管理不同的环境和已经存在的大量证书。最后，Lemur特别对流程中的私密材料进行了安全的存储。

目前，Lemur项目已经放置在GitHub中。用户也可以通过Docker来尝试Lemur。详细的安装和配置指令也在网站中进行了说明。Kevin等也指出，当前的Lemur还不能应对所有的情况。对于第三方维护的销售网站或者支付平台，用于保护其服务中通信安全的证书就不能通过Lemur来生成。Netflix也希望广大用户能够提出更多的建议或者开发出更多的插件来进一步改善Lemur。

感谢魏星对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作，请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博（@InfoQ，@丁晓昀），微信（微信号：InfoQChina）关注我们，并与我们的编辑和其他读者朋友交流（欢迎加入InfoQ读者交流群）。