“SSL证书过期”这六个字，听起来是不是有点小问题？但它可能直接让你的网站掉线，影响SEO，甚至损害品牌形象。问题是，证书不是买了就完事了，它有有效期，而且不少企业一忙起来，根本不会盯着这个过期时间。这时候，有没有办法实现自动化监控？答案是：当然有。

今天，我们就把这个问题掰开了讲，告诉你如何用自动化监控+告警方案，确保你的 HTTPS 网站不再因为证书过期而“自废武功”。

一、为什么必须监控SSL证书有效期？

很多运维团队其实没意识到，SSL证书的过期，带来的后果比你想的严重得多：

• 网站访问直接中断，浏览器红色警告页拦截用户

• 影响SEO排名，Google 会降低 HTTPS 站点的权重

• 客户信任受损，尤其是电商、SaaS类企业

问题是，SSL证书的有效期越来越短，从过去3年缩短到如今1年或更短。靠手动记忆或者表格管理，几乎是不可行的。

二、监控方案思路：盯证书不是盯人

监控证书有效期，本质上是“机器替代人工盯时钟”。思路很简单：

1. 定时检测目标网站的SSL证书剩余有效期

2. 剩余时间低于预警阈值时，触发通知

3. 通知方式可以是邮件、短信、钉钉群机器人、监控平台告警

这样一来，运维不用担心“忘记续期”，系统会在合适的时间自动提醒。

三、主流的自动监控方法

方法1：利用curl或openssl + 定时任务

这是最轻量、最通用的方案。

• 核心工具：curl或openssl

• 思路：定时获取证书信息，解析出过期时间，计算剩余天数。

示例脚本（openssl版）：

#!/bin/bash
DOMAIN="yourdomain.com"
THRESHOLD=30

expire_date=$(echo | openssl s_client -servername $DOMAIN -connect $DOMAIN:443 2>/dev/null \
    | openssl x509 -noout -enddate | cut -d= -f2)

expire_seconds=$(date --date="$expire_date" +%s)
now_seconds=$(date +%s)
remaining_days=$(( ($expire_seconds - $now_seconds) / 86400 ))

if [ $remaining_days -le $THRESHOLD ]; then
    echo "[告警] $DOMAIN SSL证书仅剩$remaining_days天到期" | mail -s "SSL证书到期提醒" admin@example.com
fi

• 部署：结合crontab定时运行即可。

• 优点：简单易用，适合少量网站。

• 缺点：无法管理多站点，扩展性差。

方法2：使用Zabbix或Prometheus监控平台

如果企业已有监控平台，直接集成更好。

• Zabbix：

• 自定义SSL证书监控项

• 利用item检测证书剩余天数

• 配合触发器（trigger）生成告警

• 支持邮件/钉钉/微信等通知渠道

• Prometheus + Alertmanager：

• 编写exporter脚本输出证书剩余天数

• Prometheus定时采集

• Alertmanager实现阈值告警

适合场景：有较多网站或已有监控平台的企业。

方法3：使用专用SaaS监控平台

比如：

• UptimeRobot

• StatusCake

• Freshping

这些平台支持HTTPS监控，自动帮你监控SSL有效期，并在临近过期时发送提醒，甚至提供多渠道通知。

适合场景：小团队、无自建监控需求的企业。

缺点：部分功能付费，存在数据安全顾虑。

四、实际部署：一套企业级解决方案

推荐结合自建与SaaS：

• 生产环境主域名：用企业自有监控平台（Zabbix/Prometheus）接管，保障内部可控。

• 次要网站与临时服务：用SaaS平台辅助监控，避免遗漏。

• 多重告警渠道：邮件 + 钉钉群机器人 + 手机短信多通道通知。

关键点：

• 监控频率设置为每日或每6小时，避免漏报

• 阈值建议设为30天，重要项目提前45天

• 告警内容应包含域名、剩余天数、过期日期

五、常见坑与实战经验

• SSL证书自动续期≠自动部署：一些平台（如Let’s Encrypt）自动续期后未自动重新加载Nginx配置，导致证书更新了但服务用的还是旧证书。

• 短期内频繁报警：阈值设定不合理（例如7天），容易在短时间内多次触发告警。

• 忽视中间证书有效期：有些监控方案只关注主证书，忽略了中间CA证书的有效期。

• 仅监控域名，忘记了内部系统：很多内网管理系统、运维平台也有HTTPS，往往被忽视。

六、监控结果的可视化

监控数据不是只有报警价值，建议定期做“证书到期统计”：

• 多站点的证书剩余有效期分布图

• 即将过期的站点列表

• 最近已续期的证书记录

这样，团队成员可以一眼看清当前整体安全状况。

七、结语

HTTPS是现代网站的标配，但SSL证书的管理与续期，常常被忽视。靠人盯着不如靠系统，让自动化监控帮你把证书过期风险扼杀在摇篮里。

从curl脚本到Zabbix监控，再到SaaS平台集成，选择适合自己的方案，建立完善的告警体系。证书过期，应该成为历史事故，而不是日常烦恼。

今天，你的网站证书，还剩多少天到期？