====== Automatisierung ======
**Priorität 1** – Reduziert manuelle Arbeit und Fehler \\
**Zielgruppe:** DevOps, Plattform-Teams
Anleitungen zur Automatisierung von Zertifikatsoperationen in einer PQ-fähigen PKI.
----
===== Übersicht =====
flowchart TB
subgraph TRIGGER["🎯 TRIGGER"]
T1[Zeitgesteuert]
T2[Event-basiert]
T3[API-Request]
end
subgraph PROCESS["⚙️ AUTOMATION"]
P1[ACME Client]
P2[CI/CD Pipeline]
P3[Cert-Manager]
P4[Scheduled Job]
end
subgraph OUTPUT["📤 ERGEBNIS"]
O1[Zertifikat deployed]
O2[Secrets rotiert]
O3[CRL aktualisiert]
end
T1 --> P4 --> O2
T2 --> P3 --> O1
T3 --> P1 --> O1
T3 --> P2 --> O1
style P1 fill:#fff3e0
style P2 fill:#e8f5e9
style P3 fill:#e3f2fd
----
===== Szenarien =====
^ Szenario ^ Beschreibung ^ Komplexität ^ Use Case ^
| [[.:acme-integration|ACME Integration]] | Let's Encrypt / ACME-Protokoll mit PQ | Mittel | Web-Server, APIs |
| [[.:cicd-code-signing|CI/CD Code-Signing]] | Automatisches Signieren in Pipelines | Hoch | Software-Releases |
| [[.:cert-manager-k8s|Kubernetes Cert-Manager]] | Zertifikate in Kubernetes automatisieren | Hoch | Cloud-Native Apps |
| [[.:scheduled-renewal|Scheduled Renewal]] | Automatische Zertifikatserneuerung | Niedrig | Alle Server |
----
===== Entscheidungsbaum =====
flowchart TD
A[Neues Zertifikat benötigt] --> B{Umgebung?}
B -->|Kubernetes| C[Cert-Manager]
B -->|Klassische Server| D{Internet-facing?}
B -->|CI/CD Pipeline| E[Pipeline-Signing]
D -->|Ja| F[ACME/Let's Encrypt]
D -->|Nein| G[Scheduled Renewal]
C --> H[cert-manager.io + Issuer]
F --> I[Certbot + Hook]
G --> J[Cron + Script]
E --> K[Sigstore/HSM]
style C fill:#e3f2fd
style F fill:#e8f5e9
style G fill:#fff3e0
style E fill:#fce4ec
----
===== Voraussetzungen =====
| Komponente | Version | Zweck |
|------------|---------|-------|
| OpenSSL | 3.6+ | PQ-Algorithmen |
| Certbot | 2.0+ | ACME Client |
| cert-manager | 1.12+ | Kubernetes |
| HashiCorp Vault | 1.15+ | Secrets Management |
----
===== Quick Start =====
**1. Einfachste Automation (Cron + Script):**
# /etc/cron.weekly/cert-renew
#!/bin/bash
/usr/local/bin/renew-certificates.sh >> /var/log/cert-renew.log 2>&1
→ Details: [[.:scheduled-renewal|Scheduled Renewal]]
**2. ACME für öffentliche Webserver:**
# Certbot mit DNS-Challenge
certbot certonly --dns-cloudflare -d example.com --deploy-hook /etc/letsencrypt/renewal-hooks/deploy/reload-nginx.sh
→ Details: [[.:acme-integration|ACME Integration]]
**3. Kubernetes Cert-Manager:**
apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
name: my-app-tls
spec:
secretName: my-app-tls
issuerRef:
name: pq-issuer
kind: ClusterIssuer
dnsNames:
- app.example.com
→ Details: [[.:cert-manager-k8s|Cert-Manager]]
----
===== Verwandte Dokumentation =====
* [[..:tagesgeschaeft:start|Tagesgeschäft]] – Manuelle Operationen
* [[..:monitoring:start|Monitoring]] – Überwachung der Automation
* [[de:int:pqcrypt:developer:integration|Integration]] – API-Integration
----
<< [[..:start|← Operator-Szenarien]] | [[.:acme-integration|→ ACME Integration]] >>
----
//Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional//
{{tag>operator automatisierung acme cicd cert-manager}}