--- phase: 0 name: intake-checklist purpose: Agent 首次进入证书场景时,向用户发出的结构化信息补齐请求 --- # 📋 证书更换 · 信息补齐清单 > 以下信息用于生成安全、准确的证书更换方案。**请不要提供私钥、环境变量、Token 等高敏信息。** > 如果某项不方便提供,请标注"暂缺",我会在方案中用占位符 `{{占位符名}}` 明确标记,不会自行补充。 > 🌱 **种子模式(E5-b)哲学**:本清单不要求你**一次性填齐所有信息**。 > 必需部分只有 §1.1(种子证书)与 §1.3(时间窗口)两项,其他毗分均为可选补充。给 Agent 一个种子后,Agent 会通过 **SAN 闭包发现**(见 SKILL.md § 0.1)自动迭代发现所有关联证书与域名,极大减轻你凭记忆填写清单的负担。 --- ## 🚦 第零部分:路径分流(Agent 开场第一步) > Agent 首次加载本清单时,**不应立刻让你填 30 项**,而必须先做一次复杂度自评估,选一条路径走: | 路径 | 何时选它 | 后续要填的量 | |------|---------|-------------| | 🟢 **Fast Path** | 单人 / 单机 / 单域名 / 时间充裕(≥ 30 天) | 只 §1.1 + §1.3 + 6 项简短确认 | | 🟡 **Standard Path** | 多机 / 小团队 / 有 CDN+LB / 中等 SAN 规模 | 完整填 §1–§3 | | 🔴 **Full Path** | 跨团队 / 跨品牌 / 跨 zone / 强合规 / 时间紧 | 完整填 §1–§3 + §4(新增审批矩阵+关键路径+决策简报) | **Fast Path 准入条件**(全部满足才可进入): ``` [ ] 证书剩余 ≥ 30 天 [ ] SAN 数 ≤ 3 [ ] DNS zone 数 = 1 [ ] 部署点 ≤ 3 [ ] 无强合规(金融/政务/等保三+/国密) [ ] 决策者 = 执行者 或 ≤ 2 人团队 ``` 任一不满足 → **至少走 Standard**。 **Full Path 触发条件**(任一命中即触发): ``` [ ] SAN 跨 ≥ 3 个 DNS zone [ ] 审批链涉及 ≥ 3 个独立团队 [ ] 资产含 "收购遗留 / 跨品牌 / 影子证书" 分类 [ ] 可操作窗口 < 60 天 [ ] 明示的强合规要求 [ ] 客户声明采购/审批流程需 ≥ 2 周(治理侧信息,等客户声明,不主动问) ``` > 📌 **分流硬边界**:允许升档(Fast→Standard→Full),禁止降档;Agent 发现新复杂度必须主动升档并显式告知你。详见 [`SKILL.md § 0.3`](../SKILL.md)。 **如果你不知道自己该走哪条路径**,直接告诉 Agent:涉及几台机器、几个人负责、有无跨部门约束,Agent 会替你判断。 --- ## 🔁 第零·五部分:续签默认值 > **Agent 默认行为**:对**所有**证书续签场景,默认方案 = **同款续签**(保持 CA / 算法 / 有效期 / SAN 清单不变),**无需你选择**。 ### 为什么默认同款 | 维度 | 说明 | |------|------| | **最稳** | 你上一次成功的证书就是 "已验证可用" 的路径 | | **最快** | 工单模板、CSR 配置、部署流程都能复用 | | **最少变量** | 过期压力下减少一切新变量(新 CA = 新 DCV / 新合同 / 新产品形态)| | **最少心智成本** | Agent 不强迫你做决策,客户沉默即等于同意默认值 | ### Agent 何时提"换 CA"建议 仅当检测到以下 **收益显著** 的信号时,Agent 以 🟡 推荐式(四段式)附带一条"升级建议": - 🟢 **当前 CA 太贵**(如商业 DV 明显超市场价,换 Let's Encrypt 可省 ¥ X) - 🟢 **自动化缺位**(当前手动续签,换 ACME 可自动化;配合 DNS 只读 API 授权更佳) - 🟢 **CA 产品线变动**(当前 CA 即将停服、降级、品牌变更) - 🟢 **合规变化**(新出现金融 / 国密要求,必须换 CA) - 🟡 **安全标准升级**(如 RSA 2048 → ECDSA P-256 性能收益) ### 换 CA 建议的必备成本披露(硬要求) Agent 提出"换 CA"建议时,**必须同步披露以下 3 类成本**,让客户对决策有完整信息: | 成本类型 | 必须说明 | |---------|---------| | 💰 **金钱成本** | 新 CA 年费 vs 旧 CA 年费(含比较),一次性迁移成本(若有) | | ⏱️ **时间成本** | 首次接入工程时间(新 CA 账号注册 / CSR 生成 / DCV 变更 / 若走 ACME 还有自动化建设) | | 🔧 **运维成本** | 新 CA 的工具链差异、监控接入、告警配置、团队培训(若有) | | 🔴 **风险成本** | 品牌变更对合作方的影响(如 CA 锁定 / 合作方白名单 / OV 身份标注丢失) | 如果时间窗口 < 30 天(如 Fast Path 准入外),**建议延后到下一次续签前 1 个月再做迁移**,本次仍走同款。 ### 同款续签的例外情形 仅以下情形 Agent **必须主动**调整默认,不可按同款走: | 情形 | Agent 行为 | |------|-----------| | 当前 CA 已停服 / 不再签发 | 🟡 强制推荐迁移到替代 CA,并列 ≥ 2 个候选 | | 当前 CA 被吊销 / CT 警告 | 🔴 立即升级为 Incident Response,暂停常规 Intake | | 客户在 §2.4 明示"**不再用**某 CA" | 采纳客户决策,按其指示走 | | 合规强约束发生变化(如新要求国密)| 🔴 触发 Full Path,CA 选型走 ADR | ### Agent 开场应如何表达 开场时 Agent 以 🟡 推荐式呈现"同款续签"这一默认值(而非 🔴 裸问): ``` 🟡【推荐】 本次采用"同款续签":继续使用 <当前 CA>, 维持 <当前算法>、<当前有效期>、<当前 SAN 清单> 【理由】 - 你已连续 N 年在此 CA 续签,路径已验证 - 过期窗口紧,不宜引入新变量 - 若想换 CA,我可以另外给你 1 个 "下次续签前的迁移计划",但不建议本次执行 【替代】 如果你对以下情况有特殊需求,请告诉我,我会给出切换方案: - 想用免费 CA(Let's Encrypt / ZeroSSL) - 想引入 ACME 自动化 - 当前 CA 有问题(涨价 / 停服 / 品牌偏好调整) 【请确认】 按"同款续签"推进?(默认是) ``` --- ## ⭐ 第一部分:必需信息(不提供无法开始) ### 1.1 种子证书(你最先想到的那张要换的证书) > 只需给一张种子证书。如果该证书是泛域或多域名,Agent 会从 SAN 清单出发,递推到其他相关证书与绑定点。 请执行以下**只读**命令并粘贴输出(任选一种): ```bash # 方式 A:从文件读取 openssl x509 -in <证书文件.pem> -noout -subject -issuer -dates -ext subjectAltName # 方式 B:从在线服务读取(任选一个代表性域名) echo | openssl s_client -servername <你的域名> -connect <你的域名>:443 2>/dev/null \ | openssl x509 -noout -subject -issuer -dates -ext subjectAltName ``` 我需要的字段: - [ ] `Subject` (CN) - [ ] `Issuer` (签发机构) - [ ] `Not Before` / `Not After`(有效期) - [ ] `subjectAltName`(SAN 列表)—— Agent 会以此为闭包迭代的起点 ### 1.2 部署位置清单(可选 · 你记得哪些就填哪些) > **本项为可选**:你不需要一次性填齐所有部署位置,Agent 会通过 SAN 闭包发现 + DNS 探针(若你提供了 DNS 只读授权)自动反推。你只需写你记得的那几个,剩下交给闭包发现。 ```markdown | 位置标识 | 类型 | 负责人 | 备注 | |---------|------|--------|------| | 例:tencent-cdn-abc | 腾讯云 CDN | 张三 | 承载主站流量 | | 例:api-nginx-01 | 自建 Nginx | 李四 | IDC 机房 | | {{请补充(可留空,交给闭包发现)}} | | | | ``` > 💡 **如何发挥闭包发现最大价值**:在 § 2.1 给 **DNS Provider** 只读授权—— Agent 会从 DNS 解析记录(CNAME/A/CAA 等)反推出你的 CDN / 源站云厂 / 现有 CA 偏好,结合从种子证书 SAN 展开的闭包迭代,**很多时候你不需要填上表一个字**。查询范围严格限定于证书 SAN 作用域,不会窚探无关子域(见 SKILL.md § 0.1 DNS 探针小节)。 ### 1.3 时间窗口 - [ ] 证书过期时间:`YYYY-MM-DD` - [ ] 距今天还有多少天?(若 ≤ 14 天我会给出应急方案;≤ 30 天会压缩阶段;≥ 60 天走标准流程) - [ ] **内部 SLA 缓冲**(客户可选声明):你们公司或团队是否有“提前多少天必须完成”的内部要求?例:`提前 30 天` / `提前 7 天` - **如果不填,Agent 会按 §0.0 分档默认完成缓冲计算可操作窗口**(≤200 天证书默认 7 天,≤398 天证书默认 14 天) - 可操作窗口 = 剩余天数 − 实际完成缓冲(Agent 会以此为关键路径起点) --- ## 🔶 第二部分:重要信息(缺了只能给通用方案) ### 2.1 基础设施栈(开放式填空) > 本 Skill **不绑定任何特定云厂商**,请用自己的话填写实际使用的厂商/产品;若多云或自建,请如实标注。 > ⚠️ **证书有效期时代背景**:2026-03-15 起公信证书最长 **≤ 200 天**(CA/B Forum SC-081 已生效)。"多年期证书"已不存在,客户购买"3 年套餐"实际是多张短期证书串联(**多年期订阅**)。Agent 在所有方案中均按单张证书的实际有效期计算续签节奏。 **CDN**:{{你们使用的 CDN}} > 示例填法:`腾讯云 CDN` / `Cloudflare` / `阿里云 CDN + AWS CloudFront 双活` / `自建(基于 Nginx + Varnish)` / `不使用 CDN` **负载均衡 / 网关**:{{你们使用的 LB / 网关}} > 示例填法:`腾讯云 CLB` / `AWS ALB` / `自建 Nginx(IDC 机房 2 节点)` / `HAProxy 主备` / `Kong` / `华为云 ELB + 自建 APISIX 混合` **API 网关 / Serverless(如有)**:{{你们使用的 API 网关或函数计算}} > 示例填法:`腾讯云 API Gateway` / `AWS API Gateway + Lambda` / `Kong` / `APISIX` / `无` **容器编排 / 证书自动化**:{{你们的 K8s / ECS / 证书自动化方案}} > 示例填法:`K8s + cert-manager`(推荐)/ `K8s 手动管理 Secret` / `ECS 虚拟机 + acme.sh` / `certbot 定时任务` / `企业内部 PKI(含私有 CA)` / `全部手动操作` **其他关键组件(如有)**:{{WAF / SSL 卸载硬件 / HSM / 第三方 SaaS 等}} > 示例填法:`F5 BIG-IP 做 SSL 卸载` / `HSM 托管私钥` / `Akamai 边缘证书` / `无` **DNS 服务商与授权等级**(强推荐填写):{{你们的 DNS 服务商 + 授权等级}} > 示例填法:`Cloudflare(可提供只读 API token)` / `阿里云 DNS(可提供只读 AK/SK)` / `DNSPod(仅能提供一次性 zone export)` / `GoDaddy(无 API 授权)` / `自建 Bind(只能提供 dig 结果)` > 💡 **为什么单设一项?** 因为客户的 DNS 可能托管在与云资源不同的厂商(常见)。Agent 要求 DNS 只读权限有两个价值:① 反推你们的 CDN / 源站云厂 / CA 偏好,补齐1.2 部署位置清单;② 查询 CAA 记录,判断是否可切换 CA。**Agent 查询范围严格限定于证书 SAN 作用域**,不会窚探无关子域。 > 💡 **给 Agent 的提示**:上面任一字段填入厂商名后,Agent 必须先查阅该厂商**当前**官方文档确认 API 命名风格,再进入后续 Phase;禁止基于本 Skill 的通用知识脑补 API 细节。 ### 2.2 审批流程(对应 HP-2 闸门) **Standard Path 默认格式**(线性三层): ```markdown | Review 层级 | 目标耗时 | 批准人 | 超时升级给谁 | |------------|---------|--------|-------------| | L3 决策层 | 5 min | {{}} | {{}} | | L2 策略层 | 15 min | {{}} | {{}} | | L1 执行层 | 30 min | {{}} | {{}} | ``` **Full Path 审批矩阵格式**(跨团队场景必填): 线性三层不足以表达真实企业的审批依赖。请用以下 **矩阵格式**: ```markdown | | 主品牌核心 | 收购遗留 | Vault 写入 | SOC 2 审计 |-----------------------|-----------|---------|-----------|---------- | L1 执行 | {{SRE}} | {{SRE}} | {{SRE}} | {{SRE}} | L2 策略 | {{Sec}} | {{Sec}} | {{Sec+SOC}} | {{Sec}} | L3 决策 | {{Biz}} | {{Biz}} | {{Biz}} | {{Biz}} | 额外审批(如有) | - | **{{法务}}** | - | **{{审计}}** ``` > 💡 矩阵综训:纵轴 = 决策层级,横轴 = **资产分类 / 变更类型 / 安全等级**。任一格一个审批人清单。完整定义见 [`SKILL.md § 0.3 Full Path`](../SKILL.md)。 ### 2.3 合规约束 - [ ] 是否涉及金融 / 支付 / 医疗场景? - [ ] 是否有国密要求(SM2 证书 / 双证书并行)? - [ ] 是否有审计留存年限要求?(例:3 年 / 7 年) - [ ] 客户端兼容性下限: - [ ] 必须支持 Android 7(部分老 Java 8 会卡 RSA 长度) - [ ] 必须支持 iOS 12+ - [ ] 必须支持 IE 11 - [ ] 其他:{{}} ### 2.4 现有证书的购买渠道与预算 - [ ] 现用 CA:{{Sectigo / DigiCert / Let's Encrypt / 阿里云 / 腾讯云 / 其他}} - [ ] 是否可换 CA? 是 / 否(有合规绑定) - [ ] 年度预算上限:{{}} 元 **账号归属**: - [ ] 现有 CA 账号是否可登录? ✅可登录 / ❌ 密码丢失 / ❓ 不确定 - [ ] 最后一次登录是谁? {{用户名 / 现职 或 已离职}} - [ ] 账号所属邮箱 / 短信验证手机是否可继承? > ⚠️ 若 CA 账号不可登录,Agent 会在 Phase 4 方案规划时把 **"账号恢复 或 换 CA"** 作为前置任务,确保证书能签发出来。 **采购流程时长**(客户可选声明,Agent 不主动问): > 📌 **元原则 α**:采购审批周期属于客户内部治理信息,Agent 不主动询问。 > 如果你们的采购流程会影响证书续签时间线,请主动告知,Agent 会立即将其纳入关键路径计算。 > 例:`我们采购需要 2 周` / `需要走 OA 审批,大约 3-5 天` / `财务付款需要 1 个月` - [ ] (可选)采购/审批流程时长:{{如有请填写,否则留空}} --- ## 🔷 第三部分:可选技术策略(若你不填,我会用四段式推荐协议给你建议,由你确认) > 下面 4 个字段属于 SKILL.md § 2.1 分类中的「有通用最佳实践」类。你可以: > - **A. 直接填写**你们的偏好(下方每个小节末尾的「你的选择」);或 > - **B. 留空**,我会用下面的【推荐 / 理由 / 替代 / 请确认】四段式协议生成建议,由你决策。 ### 3.1 密钥算法 **【推荐】** `ECDSA P-256` **【理由】** - 与 RSA 2048 安全强度相当,TLS 握手开销显著更小 - 主流浏览器、主流 CDN / LB / API 网关、主流运行时均已支持 - 证书体积更小,对移动端弱网场景延迟更友好 **【替代】** - `RSA 2048`:适用于**仍需兼容极老客户端**(老 JDK < 8u161、部分 IoT 设备、老国产浏览器)。 - `SM2(国密)`:适用于**金融、政企合规**场景或客户端已部署国密环境;注意多数境外 CA 不签发。 - `RSA 3072 / ECDSA P-384`:适用于**对长周期抗量子有高要求**的少数场景。 **【请确认】** - 你们是否有老客户端兼容、国密合规、HSM 硬件限制等特殊需求? - 若**无**特殊需求,默认按 ECDSA P-256 推进。 **你的选择**:{{A / 默认推荐 / 其他:___}} --- ### 3.2 证书有效期 **【推荐】** `90 天(ACME 自动续签)` **【理由】** - 符合 CA/B Forum 收紧趋势(未来有效期上限将进一步压缩) - 短周期迫使自动化续签落地,**避免"一年忘一次"的人为风险** - 泄露窗口小,更符合零信任原则 **【替代】** - `1 年`:适用于**尚未具备 ACME / 自动化续签能力**、或**合规明示要求**长有效期的场景。 - `398 天`(CA 普遍上限):同上,最大化"手动续签"间隔。 **【请确认】** - 你们**是否已具备**自动续签闭环(含续签、部署、观察、回滚)? - 续签闭环覆盖哪些绑定点?CDN / LB / K8s / 其他? - 若自动化尚未闭环,默认按 `1 年` 推进,并在 Phase 1 识别"是否值得投入自动化建设"。 **你的选择**:{{90 天 ACME / 1 年 / 其他:___}} --- ### 3.3 OCSP Must-Staple **【推荐】** `不启用` **【理由】** - Must-Staple 对**服务端 OCSP 响应可用性**要求极高,任一环节失败客户端直接拒绝 - 运维复杂度陡增,一旦 OCSP 响应过期/不可达 → 业务直接不可用 - 主流厂商在实际生产环境**普遍不启用** **【替代】** - `启用 Must-Staple`:仅适用于**已完整实现 OCSP Stapling + 监控 + 自动刷新**的成熟团队。 **【请确认】** - 你们**是否已经**在 LB/CDN 层启用 OCSP Stapling 并有监控? - 若无,默认 **不启用**。 **你的选择**:{{不启用 / 启用 / 需要先评估}} --- ### 3.4 CT(证书透明度)预证书监控告警 **【推荐】** `启用(可免费使用 crt.sh / Cert Spotter / 云厂商 CT 监控)` **【理由】** - 可**第一时间发现**他人以你们域名非法签发的证书(内部误签、供应链攻击、钓鱼) - 成本极低(多数为免费 SaaS),无需自建 - 对**多团队/多云环境**尤其有价值,避免"影子证书"累积 **【替代】** - `不启用`:适用于域名极少、全部手动可控的微型场景。 - `自建 CT 日志扫描`:适用于**不信任第三方 SaaS** 的高合规场景。 **【请确认】** - 你们希望把告警接入哪里?(邮件 / 企微 / Slack / 已有告警平台) - 告警接收人是谁? **你的选择**:{{启用 SaaS / 自建 / 不启用 / 需要我推荐具体 SaaS}} --- ## 🔴 第四部分:Full Path 专属字段(仅 Full Path 必填) > 仅当开场分流判定为 **🔴 Full Path** 时填写。Fast / Standard Path 跳过本部分。 ### 4.1 资产分类(对应 `02-scope-lock-and-reflow.md §5`) 请把你知道的部署点按以下 5 类标记(Agent 还会在 Phase 1 闭包后补齐): ```markdown | 资产 | A.主品牌核心 | B.主品牌边缘 | C.收购遗留 | D.影子资产 | E.历史废弃 | |------|-------------|-------------|------------|------------|------------| | 例:main-cdn | ✅ | | | | | | 例:legacy-z | | | ✅ | | | ``` ### 4.2 未知资产追踪表(对应 D3 卡点) 若你对某些资产说"不清楚",请记录为追踪项: ```markdown | 未知项 | 发现方式 | 负责人 | 目标完成日 | 回填位置 | |--------|---------|--------|------------|---------| | qcloud.* 部署位置 | 问原团队 + CT 日志 | {{}} | {{}} | 本文件 §4.1 | | ... | ... | ... | ... | ... | ``` ### 4.3 合规细化(对应 Y3 黄项) - [ ] **金融细分**:{{PCI-DSS 级别 Level 1-4 / 银保监 / 叁一等级 / 物联网 / 无}} - [ ] **等保级别**:{{二级 / 三级 / 四级 / 无}} - [ ] **行业牌照**:{{第三方支付 / 基金管理 / 医疗器械 / 其他 / 无}} - [ ] **国密要求来源**:{{人行明文 / 银保监 / 公安 / 客户合同 / 上游供应链 / 无}} - [ ] **审计留存**:{{1年 / 3年 / 7年 / 其他}} ### 4.4 提议-复议决策状态(对应 D4 卡点) 对 §3 技术策略字段,若你提出了默认值但还需另一方(如安全组)复议,请记录状态: ```markdown | 字段 | 提议值 | 提议人 | 状态 | 复议人 | 复议截止日 | |------|--------|--------|------|--------|------------| | 3.1 密钥算法 | RSA 4096 | Lisa | proposed | 安全组 | 2026-05-01 | | 3.2 有效期 | 1 年 | Lisa | accepted | — | — | ``` 状态取值:`proposed` → `reviewed` → `accepted` / `rejected` / `amended`。 ### 4.5 关键路径预览(对应 D7 卡点) Agent 会在 Phase 0 结束时根据以下元素绘制 Gantt 关键路径: - 采购流程时长(§2.4,**仅当客户声明后才纳入**,Agent 不主动问) - CSR & DCV 时长(多 SAN / 多 zone 有放大) - 签发 SLA(OV/EV 比 DV 慊) - 部署批次 × 观察期 - 内部 SLA 缓冲(§1.3) 最终输出类似:`DCV(3d) → 签发(2d) → 部署(30d) → 完成缓冲(7d)` — 总 42 天是否超过可操作窗口?如超过要 Full 路径升档应急。 若客户声明了采购周期,则在最前端加入:`采购(Nd) → DCV(3d) → ...` 关键路径决策标记: - [ ] 路径是否块入过期日前? {{是 / 否}} - [ ] 若块入,谁有权集中系统缩短某条流程?{{例:CTO 可抢通采购}} ### 4.6 跨团队协调演练授权(对应 D16 卡点) - [ ] 允许 Agent 发 **"演练标识" 审批请求** 测试 L1 → L2 → L3 SLA?{{允许 / 拒绝}} - [ ] 允许 Agent 发 **测试告警** 测试 SOC / NOC 响应?{{允许 / 拒绝}} - [ ] 法务 / 合规 / 及时响应人联系方式:{{线下提供}} --- ## 📁 附录:如果你想直接导出文件给我 这些文件**相对安全**,可以直接贴给我(**建议脱敏域名/IP 后再贴**): | 文件 | 获取命令 | 敏感等级 | |------|---------|---------| | 当前证书 | `openssl x509 -in cert.pem -noout -text > cert_info.txt` | 🟢 公开信息 | | DNS 解析记录 | 控制台导出 / `dig` 命令 | 🟡 半公开 | | Nginx SSL 配置段 | `grep -A 20 "ssl_certificate" /etc/nginx/conf.d/*.conf` | 🟡 脱敏后给 | | K8s Ingress/Certificate | `kubectl get ingress,certificate -A -o yaml` | 🟡 脱敏后给 | | CDN 证书绑定列表 | 云厂商控制台导出 | 🟡 脱敏后给 | ### 🚫 绝对不要提供 | 文件 | 原因 | |------|------| | 私钥(`.key` / `privkey.pem`) | 一旦泄露必须立即吊销证书 | | 云厂商 AK/SK | 全账户权限泄露 | | K8s Secret 原文(未脱敏) | 含 Token / 私钥 | | 带完整 IP / 内网结构的配置 | 信息泄露风险 | --- ## 🔁 我会怎么处理你的回复 1. **信息齐全** → 进入 Phase 1,生成资产盘点指引 2. **部分齐全** → 用 `{{占位符}}` 标记未知项继续,但会明确告诉你"因为 XX 未知,XX 决策暂缓" 3. **几乎全空** → 我会挑 3 个最关键的再问一轮,不会让你一次性填完 **一句话回复也可以**,比如:"我们用腾讯云全家桶,域名 *.example.com,过期还有 40 天,张三批 L3",我会基于你的描述生成结构化清单让你确认。