ALM-100005 证书过期告警

告警解释

开启证书告警上报后，当业务面的证书管理服务根据证书检查周期（缺省值为1天/24小时）检测到证书管理中正在使用的证书过期时，产生该告警。更新对应证书后，如果证书在有效期内，该告警将自动清除。

证书检查周期可在“证书告警配置”中设置：

在admin主菜单中选择“系统 > 系统管理 > 证书管理”。
在左侧导航树中选择“设置 > 通用配置”。
开启“证书告警开关”，选择“时间单位”，并设置“证书检查周期”。
单击“应用”。

告警属性

告警ID	告警级别	告警类型
100005	重要	时间域告警

告警参数

类型	参数名称	参数含义
定位信息	服务名称	证书所属的服务名称。
	服务类型	证书所属的服务的类型。例如： International
	证书分类	证书的类型。可以是如下值之一：信任证书身份证书吊销列表
	颁发者	身份证书、信任证书或吊销列表的颁发者。
	使用者	身份证书或信任证书的使用者。
	有效期到	身份证书或信任证书的过期时间。
	下次更新时间	吊销列表的过期时间。
附加信息	颁发者	身份证书、信任证书或吊销列表的颁发者。
附加信息	使用者	身份证书或信任证书的使用者。

对系统的影响

可能会导致该证书对应服务的业务异常。

可能原因

证书已经过期。

处理步骤

根据告警详情页面中的“定位信息”查看并记录已过期的证书信息。
1. 在主菜单中选择“系统 > 告警监控 > 当前告警”。
2. 单击“证书已过期告警”。
3. 在“定位信息”区域，记录以下参数的值。
  - 服务名称
  - 证书分类
  - 颁发者
  - 使用者
  - 有效期到
  - 下次更新时间

根据表1执行对应的操作。

表1 不同证书对应处理方法
服务名称	证书分类	处理方法
“服务证书管理”中的服务名称。	身份证书	请执行3。
	信任证书	请执行4。
	吊销列表	请执行5。
共享吊销列表	吊销列表	请执行6。

更新身份证书。
1. 请联系系统管理员获取新的公钥文件、私钥文件或证书链，并记录私钥文件对应的私钥密码。
2. 在admin主菜单中选择“系统 > 系统管理 > 证书管理”。
3. 单击1.c中记录的“服务名称”的值对应的卡片。
4. 在身份证书列表中，根据1.c中记录的“颁发者”、“使用者”和“有效期到”的值查找对应的证书。
5. 单击“导入”。
6. 根据界面配置证书信息。
7. 单击“提交”。
8. 在“高危”提示框中，仔细阅读提示信息后，请确认是否需要更新该证书。
  - 是，请勾选“我已明确该操作的风险，确定继续该操作。”，单击“确定”，执行3.i。
  - 否，请单击“取消”，结束操作。
9. 如果上传的证书文件中包含不安全信息（例如不安全算法）时，在“危险”提示框中，仔细阅读提示信息后，请确认是否需要更新该证书。
  - 是，请勾选“我已明确该操作的风险，确定继续该操作。”，单击“确定”，执行3.j。
  - 否，请单击“取消”，结束操作。
10. 在信息提示框中，仔细阅读提示信息后，单击“确定”。
11. 根据界面信息，确认是否需要执行其他操作完成证书更新，例如需要执行重启服务操作。
  - 是，根据提示信息处理。
  - 否，结束操作，证书更新成功。
更新信任证书。
1. 在admin主菜单中选择“系统 > 系统管理 > 证书管理”。
2. 单击1.c中记录的“服务名称”的值对应的卡片。
3. 在“信任证书”页签中，根据1.c中记录的“颁发者”、“使用者”和“有效期到”的值查找对应的证书。
4. 单击该证书所在行“操作”列的。
5. 在“高危”提示框中，仔细阅读提示信息后，请确认是否需要更新该证书。
  - 是，请勾选“我已明确该操作的风险，确定继续该操作。”，单击“确定”，执行4.f。
  - 否，请单击“取消”，结束操作。
6. 在“信息”提示框中，仔细阅读提示信息后，单击“确定”。
7. 请联系系统管理员获取新的证书文件。
  
  如果获取到的证书文件的格式为“PKCS12”或“JKS”，请同时获取并记录证书文件对应的文件密码。
8. 单击“导入”。
9. 根据界面信息配置证书信息。
10. 单击“提交”。
11. 在“高危”提示框中，仔细阅读提示信息后，请确认是否需要更新该证书。
  - 是，请勾选“我已明确该操作的风险，确定继续该操作。”，单击“确定”，执行4.l。
  - 否，请单击“取消”，结束操作。
12. 如果上传的证书文件中包含不安全信息（例如不安全算法）时，在“危险”提示框中，仔细阅读提示信息后，请确认是否需要更新该证书。
  - 是，请勾选“我已明确该操作的风险，确定继续该操作。”，单击“确定”，执行4.m。
  - 否，请单击“取消”，结束操作。
13. 在信息提示框中，仔细阅读提示信息后，单击“确定”。
14. 根据界面信息，确认是否需要执行其他操作完成证书更新，例如需要执行重启服务操作。
  - 是，根据提示信息处理。
  - 否，结束操作，证书更新成功。
更新各服务使用的吊销列表。
1. 在admin主菜单中选择“系统 > 系统管理 > 证书管理”。
2. 单击1.c中记录的“服务名称”的值对应的卡片。
3. 在吊销列表中，根据1.c中记录的“颁发者”和“下次更新时间”的值查找对应的吊销列表。
4. 单击该吊销列表所在行“操作”列的。
5. 在“高危”提示框中，仔细阅读提示信息后，请确认是否需要更新该吊销列表。
  - 是，请勾选“我已明确该操作的风险，确定继续该操作。”，单击“确定”，执行5.f。
  - 否，请单击“取消”，结束操作。
6. 在“信息”提示框中，仔细阅读提示信息后，单击“确定”。
7. 请联系系统管理员获取新的吊销列表。
8. 单击“导入”。
9. 根据界面信息配置吊销列表信息。
10. 单击“提交”。
11. 在“高危”提示框中，仔细阅读提示信息后，请确认是否需要更新该吊销列表。
  - 是，请勾选“我已明确该操作的风险，确定继续该操作。”，单击“确定”，执行5.l。
  - 否，请单击“取消”，结束操作。
12. 如果上传的吊销列表文件中包含不安全信息（例如不安全算法）时，在“危险”提示框中，仔细阅读提示信息后，请确认是否需要更新该吊销列表。
  - 是，请勾选“我已明确该操作的风险，确定继续该操作。”，单击“确定”，执行5.m。
  - 否，请单击“取消”，结束操作。
13. 在信息提示框中，仔细阅读提示信息后，单击“确定”。
14. 根据界面信息，确认是否需要执行其他操作完成吊销列表更新，例如需要执行重启服务操作。
  - 是，根据提示信息处理。
  - 否，结束操作，吊销列表更新成功。
更新共享吊销列表中的吊销列表。
1. 在admin主菜单中选择“系统 > 系统管理 > 证书管理”。
2. 在左侧导航树中选择“共享吊销列表”。
3. 在吊销列表中，根据1.c中记录的“颁发者”和“下次更新时间”的值查找对应的吊销列表。
4. 单击吊销列表所在行“操作”列的，记录所有勾选的服务。
5. 单击该吊销列表所在行“操作”列的。
6. 在“高危”提示框中，仔细阅读提示信息后，请确认是否需要更新该吊销列表。
  - 是，请勾选“我已明确该操作的风险，确定继续该操作。”，单击“确定”，执行6.g。
  - 否，请单击“取消”，结束操作。
7. 在“信息”提示框中，仔细阅读提示信息后，单击“确定”。
8. 请联系系统管理员获取新的吊销列表。
9. 单击“导入”。
10. 根据界面信息配置吊销列表信息。
11. 单击“提交”。
12. 在“高危”提示框中，仔细阅读提示信息后，请确认是否需要更新该吊销列表。
  - 是，请勾选“我已明确该操作的风险，确定继续该操作。”，单击“确定”，执行6.m。
  - 否，请单击“取消”，结束操作。
13. 如果上传的吊销列表文件中包含不安全信息（例如不安全算法）时，在“危险”提示框中，仔细阅读提示信息后，请确认是否需要更新该吊销列表。
  - 是，请勾选“我已明确该操作的风险，确定继续该操作。”，单击“确定”，执行6.n。
  - 否，请单击“取消”，结束操作。
14. 在“信息”提示框中，仔细阅读提示信息后，单击“确定”。
15. 在“共享吊销列表”界面的吊销列表中，单击吊销列表所在行“操作”列的。
16. 在“服务应用看板”，根据实际情况，勾选6.d中记录的服务名称，单击“应用”，将吊销列表应用到所选服务中。