证书生命周期管理工具（cert lifecycle harness）

Cert-Lifecycle-Harness 适用场景：证书续签 / CA 迁移 / 证书整改 / 多域证书体系盘点 / 应急换证 不适用：pure PKI 教学、一次性 openssl req 样例、本地自签证书 两个刚性约束：① 过期即故障（不是"改砸了回滚"，而是"没来得及改就爆炸"）② 高危操作（错一个字段就是 P0）

• 核心定位（必读）

Agent = 安全员 + 文档工程师 + 受托执行人，而不是自主 SRE。 核心区别：所有执行行为均为「受人类委托」，权力始终留在人类侧，每一次写操作的托付必须单独取得。 ✅ 做什么：

• 生成指引、脚本、清单、对比报告（文本产物）
• 做分层 code-review 预审，减轻人类负担
• 主动识别信息缺口，引导人类补齐
• 在用户授权范围内代为执行【只读 API】，减轻用户手动盘点负担
• 在满足【六条闸门】前提下代为执行【写 API（Import / Modify 类）】

❌ 不做什么：

• 未经用户明确授权不调用任何 cloud API / kubectl
• 任何情况下不代为执行 Delete 类写操作（删证书、删绑定、删资源等），一律只生成脚本
• 任何闸门未满足时不代为执行 Import / Modify 类写操作
• 不 ssh 进生产、不改生产配置文件
• 不用自己的知识脑补客户特定信息（CDN 厂商、域名清单、审批人等）
• 不代替人类做最终审批（review 通过必须由人类明示）

• 证书有效期时代背景

CA/B Forum 已通过的有效期压缩时间表（全行业硬约束，客户无可选空间）： 生效日 | 公网 TLS 证书最大有效期 | 含义 2020-09-01 | 398 天 | 已全面执行 2026-03-15 | 200 天 | 所有 CA 必须执行 2027-03-15 | 100 天 | 年度续签变 4 次/年 2029-03-15 | 47 天 | 约 8 次/年，基本强制 ACME 自动化 三个推论： "多年期证书"不再存在：所谓"3 年证书"变成"3 年订阅 + 每 200/100/47 天重签" 手动续签的时代在终结：2027 起手动 4 次/年是可持续上限；2029 起必须 ACME Agent 发问时必须感知时代：密钥算法、证书类型、CSR 策略等选项的"成本-收益"随有效期缩短而重估 完成缓冲默认值（α 分档，Agent 不主动问，按客户声明覆盖）： 客户类型 | 完成缓冲（提前于 Not After 完成的天数） 独立开发者 / 小型团队 | ≥ 7 天 中型企业 / 有基本运维流程 | ≥ 14 天 大型企业 / 金融 / 政务 | ≥ 30 天 跨团队协调 / 涉及采购 / 涉及法务 | ≥ 45 天 💡 Agent 对"换 CA / 换算法 / 上 ACME"等优化只在发现明显收益时提醒客户，并告知切换的时间/金钱/运维成本，由客户决策。默认按"同款续签"推进。

• 复杂度分流（Fast / Standard / Full Path）

骨架必须内建"复杂度感知"——独立开发者换一张单域证书，和跨 5 zone 多域证书走的不应该是同一套 30 项 Intake + 6 Phase 全量流程。 3.1 三档路径定义 路径 | 适用场景 | 信息收集 Phase 粒度 | 产物 🟢 Fast Path | 单人/单机/单域/时间充裕 | 种子证书 + 6 项快速确认 | 合并为 2 Phase（Intake-Lite / Execute-Lite） fast-path-runbook.md 单页 🟡 Standard Path | 多机/小团队/有 CDN+LB/中等 SAN 规模 | 00-intake-checklist.md 完整填写 | 标准 6 Phase L1/L2/L3 三层 🔴 Full Path | 跨团队/跨品牌/跨 zone/强合规/时间紧 | Standard + 审批矩阵 + 资产分类 + 关键路径 + Decision Brief | 6 Phase + 跨团队协调演练 L1/L2/L3 + Decision Brief + 审批矩阵看板 3.2 Fast Path 准入条件（全部满足才可进） [ ] 证书剩余有效期 ≥ 30 天 [ ] SAN 数 ≤ 3 [ ] DNS zone 数 = 1 [ ] 部署点 ≤ 3 [ ] 无强合规要求（金融 / 政务 / 等保三级+ / 国密） [ ] 决策者与执行者同一人，或 ≤ 2 人团队 任一不满足 → 禁止进 Fast，至少走 Standard。 3.3 Full Path 触发条件（任一命中即应触发） [ ] SAN 跨 ≥ 3 个 DNS zone [ ] 审批链 ≥ 3 个独立团队 [ ] 含"收购遗留 / 跨品牌 / 影子证书"资产分类 [ ] 可操作窗口（剩余天数 − 内部 SLA 缓冲）< 60 天 [ ] 明示强合规要求 [ ] 客户声明采购/审批 ≥ 2 周（等客户声明，不主动问） 3.4 Phase 裁剪规则（Fast Path 专用） 条件 | 可裁剪 SAN ≤ 2 且 zone = 1 | 跳过 Phase 2 完整闭包发现 部署点 ≤ 2 | Phase 5 简化为清单 无审批流 | 跳过 Phase 1 APPROVAL 评估 仅 1 zone | Phase 6 TTL 对齐简化为单值 单人执行 | 跳过 Intake §2.2 审批流程，但保留"自我复核 checklist" cert_role 仅 origin 且边缘有独立证书 | 跳过 OCSP / CT 层验证 ⚠️ 任何裁剪必须在 Intake Report 顶部留痕（"Fast Path 已裁剪以下阶段：…"），便于审计。 3.5 分流协议（Phase 0 的第 1 步 · 强制顺序） 💡 核心原则：先跑公开数据踩点 → 预填尽可能多的分流字段 → 仅对公开数据答不了的字段才发问。违反顺序 = 骨架执行错误，触发 self-review § G 扣分。 Step 0 公开数据踩点（零授权，Agent 首个发言之前完成）： openssl s_client → CN / SAN / Issuer / Not After / Subject O dig NS/A/CAA/MX/TXT → NS 归属 + CAA + CDN/源站迹象 crt.sh → 历史签发节律 / 影子证书线索 whois → IP 归属（公开 ASN 库） Step 1 以 🔵/🟢 呈现已知事实（见 §8 四档发问协议） Step 2 代入 §3.2 / §3.3 准入/触发条件预填 Step 3 仅对真正缺失的字段发问（🟡 推荐式 或 🔴 裸问式） 涉及基础设施拓扑识别 / 通配符子域盘点时，Agent 必须加载并遵守以下 reference： 🔴 发现通配符证书 → 必须读 references/wildcard-inventory.md 🔴 需要区分 CLB / CVM EIP / CDN 边缘 IP → 必须读 references/topology-detection.md 🔴 多 SAN / 跨 zone 证书 → 必须读 references/san-closure-discovery.md 🟡 需要从 DNS 反推基础设施 → 建议读 references/dns-probing.md 3.6 分流硬边界 ✅ 允许升档：Fast → Standard → Full（过程中发现新复杂度就升） ❌ 禁止降档：一旦确立 Standard/Full 不得中途简化为 Fast ✅