--- layer: L2 target_reader: 安全工程师 / 架构师 time_budget: 15 min purpose: 评估 CA 选型、密钥策略、SAN 清单、回滚策略的合理性 --- # L2 · 策略层 Review 模板 > **使用说明**:生成 CA 选型 ADR + 密钥/SAN/回滚策略文档。面向安全和架构的人。 > **硬约束**:总长度 ≤ 3 页屏幕,阅读 ≤ 15 min。核心是**可对比的决策依据**,不是技术实现。 --- ## 模板正文 ```markdown # 📐 证书更换方案 - 策略层 Review > 版本: v{{N}} · 对应 L3: [link] · 预计阅读: 15 min ## 1. CA 选型 ADR(Architecture Decision Record) ### 1.1 背景与约束 - **现状**:当前使用 `{{CA名}}` 签发的 `{{OV/DV/EV}}` 证书,过期 `{{日期}}` - **业务约束**:{{合规 / 客户端兼容 / 预算}} - **不变量**:{{必须保留 / 不能降级的能力}} ### 1.2 候选方案对比 | 维度 | A: 维持 `{{CA1}}` | B: 切换到 `{{CA2}}` | C: 切换到 `{{CA3}}` | D: 混合(主备)| |------|----|----|----|----| | 价格(年)| {{}} | {{}} | {{}} | {{}} | | 签发速度 | {{}} | {{}} | {{}} | {{}} | | 客户端信任库覆盖 | {{}} | {{}} | {{}} | {{}} | | 中间证书稳定性 | {{}} | {{}} | {{}} | {{}} | | OCSP 可用性 | {{}} | {{}} | {{}} | {{}} | | 泛域名支持 | {{}} | {{}} | {{}} | {{}} | | 吊销历史 / 事故 | {{}} | {{}} | {{}} | {{}} | | 合规认证 | {{}} | {{}} | {{}} | {{}} | | 迁移成本 | 低 | {{}} | {{}} | 高 | ### 1.3 推荐与理由 **推荐**:方案 `{{A/B/C/D}}` **理由**: 1. {{关键理由 1}} 2. {{关键理由 2}} 3. {{关键理由 3}} **不选其他方案的原因**: - 不选 X 因为 {{}} - 不选 Y 因为 {{}} ### 1.4 已知风险与缓解 | 风险 | 发生概率 | 影响 | 缓解措施 | |------|---------|------|---------| | {{中间证书链缓存导致客户端报错}} | 中 | 高 | 灰度 + 客户端诊断脚本 | | {{}} | {{}} | {{}} | {{}} | --- ## 2. 密钥策略 | 项目 | 选择 | 理由 | |------|------|------| | 密钥算法 | `{{RSA-2048 / ECC P-256 / SM2}}` | {{兼容性 vs 性能权衡}} | | 密钥来源 | `{{新生成 / 复用旧 CSR 私钥}}` | {{安全 vs 便利权衡}} | | 密钥存储 | `{{KMS / Vault / 加密文件}}` | {{符合 HP-6 版本化要求}} | | 私钥轮换周期 | `{{随证书 / 独立周期}}` | {{}} | **【假设】** 或 **【待确认】** 的项目列在这里: - {{}} --- ## 3. SAN 清单与覆盖完整性 ### 3.1 当前证书 SAN ``` {{旧证书 SAN 列表}} ``` ### 3.2 新证书 SAN(建议) ``` {{新证书 SAN 列表}} ``` ### 3.3 差异分析 | 变化类型 | 域名 | 影响 | 处理 | |---------|------|------|------| | ➕ 新增 | {{}} | 覆盖更广 | 无需处理 | | ➖ 移除 | {{}} | **可能影响业务** | 需确认 {{域名}} 是否已停用 | | 🔄 保留 | {{N 个}} | 无变化 | - | ### 3.4 盘点外发现 CT 日志 / 主动扫描发现但不在用户清单中的域名: - {{}} → 需要人工判断是否纳入 --- ## 4. 灰度与回滚策略(HP-4 落地) ### 4.1 灰度阶段 | 阶段 | 流量比例 | 观察期 | 自动回滚触发 | |------|---------|--------|-------------| | Canary | 1% | 30 min | TLS 错误率 > 0.5% / 5xx 激增 | | Stage 1 | 10% | 2 h | 同上 | | Stage 2 | 50% | 4 h | 同上 | | Full | 100% | 24 h | 告警但不自动回滚 | ### 4.2 旧证书保留策略 - **保留窗口**:新证书全量上线后 ≥ `{{14}}` 天 - **删除前置条件**: - [ ] 新证书稳定运行 ≥ 7 天无告警 - [ ] 所有监控点返回新证书指纹 - [ ] 距离旧证过期仍有 ≥ 14 天缓冲 ### 4.3 回滚预案 - **触发条件**:{{}} - **执行人**:{{}} - **回滚耗时目标**:{{}} 分钟 - **回滚后续动作**:{{事件复盘 / 重新评估}} --- ## 5. 合规与审计 - [ ] 变更审批单号:{{}} - [ ] 审计日志留存位置:{{}} - [ ] 符合 `{{PCI-DSS / 等保 / GDPR}}` 要求的说明:{{}} - [ ] CT 日志提交策略:{{}} --- ## 6. 待 L2 Review 确认的事项 - [ ] 批准 CA 选型:方案 `{{}}` - [ ] 批准密钥策略 - [ ] 批准 SAN 清单(特别是 ➖ 移除项) - [ ] 批准灰度策略与回滚窗口 签字:{{}} · 日期:{{}} ``` --- ## 生成时的硬性规则 1. **候选方案必须给 ≥ 3 个**,不能只给"推荐方案 + 无对比"。 2. **每个维度必须填实或标【待确认】**,禁止留空白。 3. **SAN 差异**必须做到**逐项列出**,不允许用"大致相同"糊弄。 4. **灰度策略**必须明确给出**量化阈值**(百分比、时间、错误率),禁止"观察一段时间"这种模糊表述。 5. **Agent 不知道客户的合规要求时**,`第 5 节`必须标【待 intake 补充】,禁止按"一般企业"填。 --- ## Review Checklist(安全/架构自检) L2 读者读完后应能回答: - [ ] 推荐的 CA **技术上**为什么比其他选项好? - [ ] 密钥策略**是否符合**当前安全红线? - [ ] SAN 移除的域名**真的**停用了吗? - [ ] 灰度的**自动回滚条件**是否可靠(不会误伤也不会漏抓)? - [ ] 回滚耗时是否 < 旧证剩余有效期的 10%? 如果任一答不上来,打回 Agent 补充。