背 景
公司A拥有一套云上DNS服务,主要用于支持云中应用和服务的域名解析。为了满足线下门店之间的服务互联需求,公司在内网自建一套Windows DNS服务器,以实现门店之间的高效域名解析。此方案旨在保证内部网络的稳定性与安全性,同时与云上DNS服务进行有效集成,需要监控证书有效性和域名解析的记录查询。
目 标
- 自建DNS服务:在不登录window dns服务器的情况下,通过日志系统进行查询解析记录。
- HTTPS安全通信:为所有域名服务打印域名证书的时间信息。
- 告警系统:监控域名证书状态,并在出现问题时及时告警。
业务流程
- 域名解析测试
- 在内部网络的客户端上测试域名解析,确保所有服务都能正确解析。
- 验证HTTPS证书连接,确保浏览器或客户端能够安全访问服务。
- 证书和域名监控
- 监控证书的有效期,设置告警阈值(如到期前60天)。
- 监控HTTPS服务的可用性,确保服务在DNS解析和证书有效的情况下正常运行。
- 告警机制
- 如果证书即将到期或已过期,发出告警,确保运维人员能够及时更新证书。
- 实现自动化脚本,当证书即将到期时,生产新的证书进替换
服务器安装openssl服务
- openssl软件下载地址https://slproweb.com/download/Win64OpenSSL-3_3_2.msi
- 软件下载后直接点击下一步进行安装,直到安装完成.
- openssl环境变量配置
使用命令查询openssl -version版本信息
脚本查询域名的A记录、CNAME记录、域名证书信息
1.手动查询自建window dns的A记录和CNAME记录命令信息
Get-DnsServerResourceRecord -ZoneName "text" | Where-Object { $_.RecordType -eq "CNAME" -or $_.RecordType -eq "A"} | Format-Table -AutoSize2.在powershell上查询单个域名的证书信息
$domain = "zi.lu.cn"
cmd /c "echo | openssl s_client -servername `"$($domain)`" -connect `"$($domain):443`" 2>&1 | openssl x509 -noout -dates | findstr /C:notAfter"3.通过powershell脚本获取域名详细信息
$zoneName = "lu.cn"
# domaininput.txt需要排除的域名列表信息
$inputFilePath = "D:\domain\domaininput.txt"
# domainoutput.txt需要输出日志记录的域名列表信息
$outputFilePath = "D:\domain\domainoutput.txt"
# 飞书webhook
$feishuWebhookUrl = "https://open.feishu.cn/open-apis/bot/v2/hook/xxxxxxxxxxxxxxxx" # 替换为你的飞书 Webhook URL
function Send-FeishuNotification {
param (
[string]$message,
[string]$color
)
if ($color -eq "blue") {
$formattedMessage = "*Success:* $message"
} elseif ($color -eq "black") {
$formattedMessage = "*Error:* $message"
} else {
$formattedMessage = $message
}
$payload = @{
msg_type = "text"
content = @{
text = $formattedMessage
}
}
$jsonPayload = $payload | ConvertTo-Json -Depth 1
Invoke-RestMethod -Uri $feishuWebhookUrl -Method Post -Body $jsonPayload -ContentType 'application/json'
}
function Get-CertificateEndDate {
param (
[string]$domain
)
Write-Host "正在处理域名: $domain"
try {
# 获取证书到期信息
$certInfo = cmd /c "echo | openssl s_client -servername `"$($domain)`" -connect `"$($domain):443`" 2>&1 | openssl x509 -noout -dates | findstr /C:notAfter"
Write-Host "获取的证书信息: $certInfo"
if ($certInfo -match "notAfter=(.*)") {
$formattedDate = $matches[1].Trim() # 获取到期时间并去掉空格
Write-Host "证书到期时间: $formattedDate"
# 修剪多余空格
$formattedDate = $formattedDate -replace '\s+', ' '
# 解析日期时,指定格式并转换为 yyyy-MM-dd
$parsedDate = [datetime]::ParseExact($formattedDate, "MMM d HH:mm:ss yyyy 'GMT'", [System.Globalization.CultureInfo]::InvariantCulture)
$endDate = $parsedDate.ToString("yyyy-MM-dd")
Write-Host "格式化后的日期: $endDate"
return $endDate
} else {
Write-Host "未找到证书信息: $certInfo"
return "2008-08-08" # 默认日期
}
} catch {
Write-Host "发生错误: $_"
return "2008-08-08" # 默认日期
}
}
try {
if (-Not (Test-Path $inputFilePath)) {
$errorMessage = "输入文件不存在:$inputFilePath"
$failureMessage = "failed $zoneName $errorMessage"
Send-FeishuNotification -message $failureMessage -color "black"
exit
}
$excludedDomains = Get-Content -Path $inputFilePath | Where-Object { $_.Trim() -ne "" }
$dnsRecords = Get-DnsServerResourceRecord -ZoneName $zoneName |
Where-Object { $_.RecordType -eq "CNAME" -or $_.RecordType -eq "A" }
$output = @{}
$ignoredDomains = @()
foreach ($record in $dnsRecords) {
$hostName = $record.HostName
if ($hostName.EndsWith($zoneName, [System.StringComparison]::OrdinalIgnoreCase)) {
$fullDomain = $hostName
} else {
$fullDomain = "$hostName.$zoneName"
}
# 修正重复的域名问题
$fullDomain = $fullDomain -replace '\.lu\.cn\.lu\.cn