====== Automatizacija ======

<WRAP round tip>
**Prioritet 1** - Smanjuje ručni rad i pogreške \\
**Ciljana skupina:** DevOps, Platformski timovi
</WRAP>

Upute za automatizaciju operacija s certifikatima u PQ-sposobnoj PKI infrastrukturi.

----

===== Pregled =====

<mermaid>
flowchart TB
    subgraph TRIGGER["OKIDAČ"]
        T1[Vremenski kontrolirano]
        T2[Bazirano na događaju]
        T3[API zahtjev]
    end

    subgraph PROCESS["AUTOMATIZACIJA"]
        P1[ACME Client]
        P2[CI/CD Pipeline]
        P3[Cert-Manager]
        P4[Zakazani posao]
    end

    subgraph OUTPUT["REZULTAT"]
        O1[Certifikat deployiran]
        O2[Tajne rotirane]
        O3[CRL ažuriran]
    end

    T1 --> P4 --> O2
    T2 --> P3 --> O1
    T3 --> P1 --> O1
    T3 --> P2 --> O1

    style P1 fill:#fff3e0
    style P2 fill:#e8f5e9
    style P3 fill:#e3f2fd
</mermaid>

----

===== Scenariji =====

^  Scenarij  ^  Opis  ^  Složenost  ^  Primjena  ^
| [[.:acme-integration|ACME integracija]] | Let's Encrypt / ACME protokol s PQ | Srednja | Web serveri, API-ji |
| [[.:cicd-code-signing|CI/CD potpisivanje koda]] | Automatsko potpisivanje u pipelineima | Visoka | Softverska izdanja |
| [[.:cert-manager-k8s|Kubernetes Cert-Manager]] | Automatizacija certifikata u Kubernetesu | Visoka | Cloud-Native aplikacije |
| [[.:scheduled-renewal|Zakazana obnova]] | Automatska obnova certifikata | Niska | Svi serveri |

----

===== Stablo odlučivanja =====

<mermaid>
flowchart TD
    A[Potreban novi certifikat] --> B{Okruženje?}
    B -->|Kubernetes| C[Cert-Manager]
    B -->|Klasični serveri| D{Javno dostupan?}
    B -->|CI/CD Pipeline| E[Pipeline potpisivanje]
    D -->|Da| F[ACME/Let's Encrypt]
    D -->|Ne| G[Zakazana obnova]

    C --> H[cert-manager.io + Issuer]
    F --> I[Certbot + Hook]
    G --> J[Cron + Skripta]
    E --> K[Sigstore/HSM]

    style C fill:#e3f2fd
    style F fill:#e8f5e9
    style G fill:#fff3e0
    style E fill:#fce4ec
</mermaid>

----

===== Preduvjeti =====

| Komponenta | Verzija | Svrha |
|------------|---------|-------|
| OpenSSL | 3.6+ | PQ algoritmi |
| Certbot | 2.0+ | ACME klijent |
| cert-manager | 1.12+ | Kubernetes |
| HashiCorp Vault | 1.15+ | Upravljanje tajnama |

----

===== Brzi početak =====

**1. Najjednostavnija automatizacija (Cron + Skripta):**

<code bash>
# /etc/cron.weekly/cert-renew
#!/bin/bash
/usr/local/bin/renew-certificates.sh >> /var/log/cert-renew.log 2>&1
</code>

Detalji: [[.:scheduled-renewal|Zakazana obnova]]

**2. ACME za javne web servere:**

<code bash>
# Certbot s DNS izazovom
certbot certonly --dns-cloudflare -d example.com --deploy-hook /etc/letsencrypt/renewal-hooks/deploy/reload-nginx.sh
</code>

Detalji: [[.:acme-integration|ACME integracija]]

**3. Kubernetes Cert-Manager:**

<code yaml>
apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: my-app-tls
spec:
  secretName: my-app-tls
  issuerRef:
    name: pq-issuer
    kind: ClusterIssuer
  dnsNames:
    - app.example.com
</code>

Detalji: [[.:cert-manager-k8s|Cert-Manager]]

----

===== Povezana dokumentacija =====

  * [[..:tagesgeschaeft:start|Svakodnevni rad]] - Ručne operacije
  * [[..:monitoring:start|Nadzor]] - Praćenje automatizacije
  * [[hr:int:pqcrypt:developer:integration|Integracija]] - API integracija

----

<< [[..:start|<- Operatorski scenariji]] | [[.:acme-integration|-> ACME integracija]] >>

----
//Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional//

{{tag>operator automatizacija acme cicd cert-manager}}