====== Operator-Szenarien ======

<WRAP round info>
**Zielgruppe:** Systemadministratoren, PKI-Operatoren, DevOps \\
**Fokus:** Tagesgeschäft, Runbooks, Checklisten, Automatisierung
</WRAP>

Praxisorientierte Anleitungen für den operativen Betrieb einer PQ-fähigen PKI.

----

===== Übersicht =====

<mermaid>
flowchart TB
    subgraph DAILY["📋 TAGESGESCHÄFT"]
        D1[Zertifikat ausstellen]
        D2[Zertifikat erneuern]
        D3[Zertifikat widerrufen]
        D4[Health Check]
    end

    subgraph AUTO["⚙️ AUTOMATISIERUNG"]
        A1[ACME/Let's Encrypt]
        A2[CI/CD Signing]
        A3[Kubernetes Cert-Manager]
        A4[Scheduled Renewal]
    end

    subgraph MON["📊 MONITORING"]
        M1[Ablauf-Monitoring]
        M2[Revocation-Check]
        M3[Audit-Logging]
        M4[Alerting]
    end

    subgraph MIG["🔄 MIGRATION"]
        G1[Classic → Hybrid]
        G2[Parallel-Betrieb]
        G3[Rollback]
        G4[Inventur]
    end

    subgraph DR["🛡️ DISASTER RECOVERY"]
        R1[CA Backup/Restore]
        R2[Key Ceremony]
        R3[Notfall-Revocation]
    end

    subgraph CLOUD["☁️ CLOUD"]
        C1[Azure Key Vault]
        C2[AWS KMS]
        C3[HashiCorp Vault]
    end

    DAILY --> AUTO
    AUTO --> MON
    MON --> MIG
    MIG --> DR

    style D1 fill:#e8f5e9
    style A1 fill:#fff3e0
    style M1 fill:#e3f2fd
    style G1 fill:#fce4ec
</mermaid>

----

===== Kategorien =====

==== Tagesgeschäft ====

Runbooks für tägliche operative Aufgaben.

^  Runbook  ^  Beschreibung  ^  Dauer  ^
| [[.:tagesgeschaeft:zertifikat-ausstellen|Zertifikat ausstellen]] | CSR prüfen, signieren, ausliefern | ~10 Min |
| [[.:tagesgeschaeft:zertifikat-erneuern|Zertifikat erneuern]] | Ablaufende Zertifikate erneuern | ~15 Min |
| [[.:tagesgeschaeft:zertifikat-widerrufen|Zertifikat widerrufen]] | Kompromittierte Zertifikate sperren | ~5 Min |
| [[.:tagesgeschaeft:health-check|Health Check]] | Tägliche Systemprüfung | ~5 Min |

----

==== Automatisierung ====

<WRAP round tip>
**Priorität 1** – Reduziert manuelle Arbeit und Fehler
</WRAP>

^  Szenario  ^  Beschreibung  ^  Komplexität  ^
| [[.:automatisierung:acme-integration|ACME Integration]] | Let's Encrypt / ACME-Protokoll | Mittel |
| [[.:automatisierung:cicd-code-signing|CI/CD Code-Signing]] | Automatisches Signieren in Pipelines | Hoch |
| [[.:automatisierung:cert-manager-k8s|Kubernetes Cert-Manager]] | Zertifikate in K8s | Hoch |
| [[.:automatisierung:scheduled-renewal|Scheduled Renewal]] | Automatische Erneuerung | Niedrig |

----

==== Monitoring & Alerting ====

<WRAP round tip>
**Priorität 2** – Kritisch für Produktionsbetrieb
</WRAP>

^  Szenario  ^  Beschreibung  ^  Tools  ^
| [[.:monitoring:ablauf-monitoring|Ablauf-Monitoring]] | Zertifikatsablauf überwachen | Prometheus, Grafana |
| [[.:monitoring:revocation-check|Revocation-Check]] | CRL/OCSP Verfügbarkeit | curl, PowerShell |
| [[.:monitoring:audit-logging|Audit-Logging]] | Compliance-konforme Protokollierung | Syslog, ELK |
| [[.:monitoring:alerting-setup|Alerting Setup]] | Benachrichtigungen einrichten | PagerDuty, Teams |

----

==== Migration ====

<WRAP round tip>
**Priorität 3** – Für bestehende PKI-Infrastrukturen
</WRAP>

^  Szenario  ^  Beschreibung  ^  Risiko  ^
| [[.:migration:classic-to-hybrid|Classic → Hybrid]] | RSA/ECDSA zu Hybrid migrieren | Mittel |
| [[.:migration:parallel-betrieb|Parallel-Betrieb]] | Klassisch + PQ gleichzeitig | Niedrig |
| [[.:migration:rollback-strategie|Rollback-Strategie]] | Notfall-Rückfall planen | - |
| [[.:migration:inventur|Zertifikats-Inventur]] | Bestandsaufnahme | Niedrig |

----

==== Disaster Recovery ====

^  Szenario  ^  Beschreibung  ^  Kritisch  ^
| [[.:disaster-recovery:ca-backup-restore|CA Backup/Restore]] | CA-Schlüssel sichern und wiederherstellen | Ja |
| [[.:disaster-recovery:key-ceremony|Key Ceremony]] | Sichere Schlüsselgenerierung | Ja |
| [[.:disaster-recovery:notfall-revocation|Notfall-Revocation]] | Massenhafte Sperrung | Ja |

----

==== Cloud Integration ====

^  Szenario  ^  Cloud  ^  HSM  ^
| [[.:cloud:azure-keyvault|Azure Key Vault]] | Azure | Managed HSM |
| [[.:cloud:aws-kms|AWS KMS]] | AWS | CloudHSM |
| [[.:cloud:hashicorp-vault|HashiCorp Vault]] | Multi-Cloud | Transit |

----

===== Schnellstart für Operatoren =====

**Tag 1: Grundlagen**
  - [[.:tagesgeschaeft:health-check|Health Check]] durchführen
  - [[.:tagesgeschaeft:zertifikat-ausstellen|Erstes Zertifikat]] ausstellen

**Woche 1: Automatisierung**
  - [[.:automatisierung:scheduled-renewal|Automatische Erneuerung]] einrichten
  - [[.:monitoring:ablauf-monitoring|Ablauf-Monitoring]] konfigurieren

**Monat 1: Produktion**
  - [[.:monitoring:alerting-setup|Alerting]] einrichten
  - [[.:disaster-recovery:ca-backup-restore|Backup-Strategie]] implementieren

----

===== Verwandte Dokumentation =====

  * [[de:int:pqcrypt:szenarien:kurzreferenz:start|Kurzreferenz]] – Kompakte Code-Beispiele
  * [[de:int:pqcrypt:administrator:start|Administrator-Handbuch]] – Installation, Konfiguration
  * [[de:int:pqcrypt:szenarien:start|Alle Szenarien]] – Technische Referenz

----
//Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional//

{{tag>operator sysadmin runbook tagesgeschaeft}}