公司上周做了一次例行的SSH密钥轮换,结果第二天客服就炸了锅——一堆用户反馈连不上后台。运维一查日志,全是认证失败。问题出在哪?旧密钥被替换后,很多客户端还拿着过期的凭据在敲门,门当然不会开。
密钥轮换不是服务器单方面的事
很多人以为,只要服务器端把旧密钥删了,换上新的就完事了。但客户端那边如果没同步更新,连接立马就断。比如用API对接的第三方系统,有些是部署在客户本地的老旧服务,半年都没人动过代码。你这边一换密钥,人家接口调不动了,电话就得打过来骂街。
再比如移动端App,用户不更新版本,内置的证书还是旧的。你换了后端密钥,老版本App登录直接报错,评论区瞬间就被差评占满。这种问题不是修个配置就能解决的,得提前铺好过渡方案。
常见的“翻车”场景
一种典型情况是自动化脚本。运维写了个每天拉数据的cron任务,密钥写死在服务器上。轮换之后,没人去改那个脚本里的密钥,数据同步断了好几天才被发现。等排查到原因,业务部门已经催了三遍报表。
还有的企业用LDAP或OAuth做统一认证,密钥一换,所有依赖这个认证的服务都得跟着调整。如果没通知到位,开发、测试、预发环境全卡住,项目进度直接停摆。
怎么减少影响?
最简单的办法是双密钥并行。新旧密钥同时生效一段时间,给客户端留出更新窗口。比如在JWT验证中,可以支持两个公钥:
jwtConfig.PublicKeys = []string{
"old_public_key.pem",
"new_public_key.pem"
}
这样新老客户端都能通过验证。等确认大部分客户端已切换,再逐步下线旧密钥。
另外,别忘了加监控。密钥轮换后,盯紧认证失败的日志。如果某个IP持续用旧密钥尝试连接,说明它的配置还没改,可以主动联系负责人处理。
推送机制也很关键。App可以在启动时检查密钥版本,提示用户升级。内部系统可以通过邮件、IM群公告等方式提前通知。别等到服务断了才说“我们昨天更新了”。
小改动,大后果
密钥轮换本质是提升安全性,但操作不当反而会降低可用性。一次看似简单的维护,可能让下游系统集体瘫痪。与其事后救火,不如在轮换前画清楚依赖图:哪些客户端用了这把密钥?它们多久更新一次?有没有自动重连机制?
安全和稳定不是二选一。把客户端当成真实存在的“人”,想想他们拿到新钥匙之前,能不能顺利进门,问题自然就少了。