🏢 DigiCert Trust Lifecycle Manager (TLM)
PKISSL憑證管理自動化DigiCert
2026-05-27 | 來源:DigiCert 官方文件與技術會議 | 最後驗證:2026-05-27
2026-05-27 | 來源:DigiCert 官方文件與技術會議 | 最後驗證:2026-05-27
TL;DR — DigiCert TLM 是全球領先的憑證全生命週期自動化平台(IDC 2026 Leader),因應 CA/B Forum Ballot SC-081v3 將 SSL 憑證縮短至 47 天(2029/3/15),提供 Discovery → Profile → Autopilot 三步驟全自動方案,支援 7 家 CA 與 85%+ 常見端點。
DigiCert 公司概覽
- 美國公司,全球最大 SSL 憑證供應商(Fortune 5000 大企業多數為其客戶)
- 兩大核心業務:SSL 憑證簽發 + 憑證自動化管理(TLM)
- 亞太區業務涵蓋香港、台灣、澳門,支援中文/國語技術支援
- 2025 年 5 月首次參加台灣資安大會(CYBERSEC)
- IDC MarketScape 2026 年 1 月報告中列為最高「Leader」級別
- Post-Quantum Cryptography(PQC)已準備就緒,可一鍵切換量子安全演算法
市場背景:CA/B Forum Ballot SC-081v3
2025 年 4 月,CA/Browser Forum 以 25 票贊成、0 票反對通過 Ballot SC-081v3(TWCA 棄權),正式確立 SSL/TLS 憑證有效期與域名驗證(DCV)重用期的縮短時程。
憑證有效期時程表
| 階段 | CA/B Forum | 生效日 | DigiCert | DigiCert 生效日 |
|---|---|---|---|---|
| 現行 | 398 天 | 2026/3/15 前 | 397 天 | 2026/2/24 前 |
| 第一階段 | 200 天 | 2026/3/15 | 199 天 | 2026/2/24 |
| 第二階段 | 100 天 | 2027/3/15 | 99 天 | 2027 年初 |
| 第三階段 | 47 天 | 2029/3/15 | 46 天 | 2029 年初 |
⚠️ DigiCert 比 CA/B Forum 規定提前約 3 週實施,且有效期各少 1 天以確保不超限。
域名驗證(DCV)重用期時程表
| 階段 | CA/B Forum | 生效日 | DigiCert | DigiCert 生效日 |
|---|---|---|---|---|
| 現行 | 398 天 | 2026/3/15 前 | 397 天 | 2026/2/24 前 |
| 第一階段 | 200 天 | 2026/3/15 | 199 天 | 2026/2/24 |
| 第二階段 | 100 天 | 2027/3/15 | 99 天 | 2027 年初 |
| 第三階段 | 10 天 | 2029/3/15 | 9 天 | 2029 年初 |
⚠️ 2029 年後,同一域名間隔超過 10 天再申請憑證就需重新做 DCV,手動管理幾乎不可能。
工作量倍增示例
以 2 張 Wildcard 部署在 50 台伺服器為例:
| 時期 | 年度安裝次數 | 倍數 |
|---|---|---|
| 398 天期(2026 前) | 50 次 | 1x |
| 200 天期(2026) | 100 次 | 2x |
| 100 天期(2027) | 150 次 | 3x |
| 47 天期(2029) | ~400 次 | 8x |
TLM 系統定位
Trust Lifecycle Manager(TLM)是 DigiCert 自研的憑證全生命週期自動化管理平台,已在市場運營 4-5 年,屬成熟產品。屬於 DigiCert ONE 平台的模組之一。
自動化涵蓋完整生命週期 — CSR 生成 → 域名驗證 → 憑證下載 → 安裝部署 → TLS 驗證測試
三步驟部署流程
1Discovery(發現)
- 掃描企業內部所有憑證使用情況,建立完整清單
- 顯示 Common Name、供應商、到期日、部署位置
- 支援定期掃描(每日/每週/每月),動態監控
- 一張 Wildcard 部署在 100 台伺服器也能全部找出
- 漏洞掃描:弱金鑰、自簽、不合規 CA 等風險偵測
2建立 Automation Profile
- 依端點類型建立策略(如 Apache Profile、F5 Profile)
- 設定:金鑰長度、更新週期、憑證策略模板、格式等
- 將對應端點的憑證配置到 Profile 上
3執行自動化
- 雲平台控制 Agent/Sensor 執行完整流程(約 1-2 分鐘)
- 支援排程(避開業務高峰期)與週期性自動更新(如到期前 30 天)
- 部署完成後即 Autopilot,日常僅需定期 login 做 regular checking
架構部署方式(Hybrid)
┌─────────────────────────────────────────┐
│ DigiCert ONE 雲平台 (TLM) │
└──────────────┬──────────────────────────┘
│
┌──────┴──────┐
│ Proxy │
└──────┬──────┘
│
┌──────────┼──────────┐
│ │
┌───┴───┐ ┌────┴────┐
│ Agent │ │ Sensor │
│(Web │ │(網路設備)│
│Server)│ │ │
└───┬───┘ └────┬────┘
│ │
Tomcat F5, A10
Apache Citrix ADC
Nginx, IIS AWS/Azure/GCP
- Agent:安裝在 Web Server 上(Tomcat、Apache、Nginx、IIS)
- Sensor:用於網路設備與雲服務(F5、A10、Citrix、AWS、Azure、GCP)
- 雲平台:DigiCert 自有資料中心(亞洲用澳洲實例;日本在 Azure 上;台灣暫無落地計畫)
- Private Key 不離開客戶端:平台不接觸任何私鑰
- 掃描動作在客戶數據中心內部完成,不涉及連外網
支援的 CA 供應商(2026 最新)
| 供應商 | 整合方式 | 支援狀態 |
|---|---|---|
| DigiCert CertCentral | Connector | ✅ |
| AWS Private CA | Connector | ✅ |
| Entrust | Connector | ✅ |
| GlobalSign (GCC) | Connector | ✅ |
| Let's Encrypt | Connector | ✅ |
| Microsoft CA Server | Connector | ✅ |
| Sectigo | Connector | ✅ |
| TWCA(台灣網路認證) | — | ❌ 預計最快 2026 Q4 |
支援的端點與整合清單(2026 最新)
網路設備
| 設備 | 整合方式 |
|---|---|
| A10 | Connector |
| Citrix Netscaler ADC | Connector |
| F5 BIG-IP LTM | Connector |
| 其他 | Plugin(可擴充) |
雲服務
| 平台 | 整合方式 |
|---|---|
| AWS(ACM + ELB,unified connector) | Connector |
| Azure Key Vault | Connector |
| Google Cloud Platform (GCP) | Connector |
| 其他 | Plugin(可擴充) |
MDM / UEM(行動裝置管理)
| 平台 | 整合方式 |
|---|---|
| Microsoft Intune | Connector + SCEP |
| Ivanti EPMM | REST API + SCEP |
| Jamf Pro | REST API + SCEP |
| Iru(原 Kandji) | SCEP |
| SOTI MobiControl | SCEP |
| Workspace ONE | REST API |
服務管理 & DevOps
| 平台 | 整合方式 |
|---|---|
| ServiceNow | Connector + App + CMDB Sync |
| Jira | Email 通知 |
| 容器編排(DevOps) | ACME / REST API |
2026 年新功能亮點NEW
| 功能 | 說明 | 發布 |
|---|---|---|
| Alerts | 多通道即時通知(Email/Webhook/ServiceNow/Slack),可自訂觸發條件 | 2026/5 |
| SCIM 用戶管理 | 從 IdP 自動同步用戶與群組到 Business Unit | 2026/5 |
| AWS Unified Connector | 取代舊 ELB connector,支援 OU-level scoping | 2026/5 |
| Admin Web Request 擴充 | 開發者可自建 plugin 整合第三方應用 | 2026/5 |
| BeyondTrust/CyberArk 整合 | Secrets Manager 整合 Intune connector | 2026/5 |
| ServiceNow CMDB Sync | 憑證資訊自動同步到 CMDB 記錄 | 2026/4 |
| Microsoft CA 擴充 | 支援更多 Subject DN 欄位(O/OU/L/S/C) | 2026/5 |
計費模式
| 項目 | 計費方式 |
|---|---|
| 憑證費用 | 按域名(FQDN)計算,訂閱期內不限簽發次數 |
| TLM 平台費用 | 按 Endpoint 數量計算(每個需管理的 VS/服務端口算 1 個) |
- 同一 F5 上 7 個 VS 中有 5 個配憑證 → 計 5 個 Endpoint
- 同域名不同端點各自獨立計算(現代 PKI:每端點獨立憑證、獨立 Serial Number)
- 數量越多單價越低(階梯折扣)
台灣市場策略
- TWCA 客戶轉換方案:Price Match 甚至折扣 + TLM Bundle
- TWCA 目前僅提供半自動化(ACME),免費但非全自動
- 私人企業無強制使用 TWCA 規定,可自由選擇 CA
- 提供 Partner 計畫,可安排 POC 測試
- 聯繫方式:Live Chat、Email、電話(台灣辦公時間中文支援)
現代 PKI 運維觀念
傳統:1 張憑證部署到多台伺服器(共用 Private Key)
現代:即使同一域名,每個端點各自申請獨立憑證(不同 Serial Number),降低單一金鑰洩漏的影響範圍。
資料來源:DigiCert Knowledge Base • CA/Browser Forum Ballot SC-081v3 (2025/4/11) • DigiCert TLM Release Notes (至 2026/5/20) • DigiCert TLM Integration Guides