====== Avtomatizacija ======

<WRAP round tip>
**Prioriteta 1** – Zmanjšuje ročno delo in napake \\
**Ciljna skupina:** DevOps, platformne ekipe
</WRAP>

Navodila za avtomatizacijo operacij s certifikati v PKI z PQ-zmožnostjo.

----

===== Pregled =====

<mermaid>
flowchart TB
    subgraph TRIGGER["SPROŽILEC"]
        T1[Časovno nadzorovano]
        T2[Dogodkovno]
        T3[API zahteva]
    end

    subgraph PROCESS["AVTOMATIZACIJA"]
        P1[ACME odjemalec]
        P2[CI/CD cevovod]
        P3[Cert-Manager]
        P4[Načrtovana naloga]
    end

    subgraph OUTPUT["REZULTAT"]
        O1[Certifikat nameščen]
        O2[Skrivnosti rotirane]
        O3[CRL posodobljen]
    end

    T1 --> P4 --> O2
    T2 --> P3 --> O1
    T3 --> P1 --> O1
    T3 --> P2 --> O1

    style P1 fill:#fff3e0
    style P2 fill:#e8f5e9
    style P3 fill:#e3f2fd
</mermaid>

----

===== Scenariji =====

^  Scenarij  ^  Opis  ^  Kompleksnost  ^  Primer uporabe  ^
| [[.:acme-integration|ACME integracija]] | Let's Encrypt / ACME protokol s PQ | Srednja | Spletni strežniki, API-ji |
| [[.:cicd-code-signing|CI/CD podpisovanje kode]] | Avtomatsko podpisovanje v cevovodih | Visoka | Izdaje programske opreme |
| [[.:cert-manager-k8s|Kubernetes Cert-Manager]] | Avtomatizacija certifikatov v Kubernetes | Visoka | Cloud-native aplikacije |
| [[.:scheduled-renewal|Načrtovana obnova]] | Avtomatska obnova certifikatov | Nizka | Vsi strežniki |

----

===== Drevo odločitev =====

<mermaid>
flowchart TD
    A[Nov certifikat potreben] --> B{Okolje?}
    B -->|Kubernetes| C[Cert-Manager]
    B -->|Klasični strežniki| D{Dostopen iz interneta?}
    B -->|CI/CD cevovod| E[Podpisovanje v cevovodu]
    D -->|Da| F[ACME/Let's Encrypt]
    D -->|Ne| G[Načrtovana obnova]

    C --> H[cert-manager.io + Issuer]
    F --> I[Certbot + Hook]
    G --> J[Cron + skripta]
    E --> K[Sigstore/HSM]

    style C fill:#e3f2fd
    style F fill:#e8f5e9
    style G fill:#fff3e0
    style E fill:#fce4ec
</mermaid>

----

===== Predpogoji =====

| Komponenta | Verzija | Namen |
|------------|---------|-------|
| OpenSSL | 3.6+ | PQ algoritmi |
| Certbot | 2.0+ | ACME odjemalec |
| cert-manager | 1.12+ | Kubernetes |
| HashiCorp Vault | 1.15+ | Upravljanje skrivnosti |

----

===== Hiter začetek =====

**1. Najenostavnejša avtomatizacija (Cron + skripta):**

<code bash>
# /etc/cron.weekly/cert-renew
#!/bin/bash
/usr/local/bin/renew-certificates.sh >> /var/log/cert-renew.log 2>&1
</code>

→ Podrobnosti: [[.:scheduled-renewal|Načrtovana obnova]]

**2. ACME za javne spletne strežnike:**

<code bash>
# Certbot z DNS izzivom
certbot certonly --dns-cloudflare -d example.com --deploy-hook /etc/letsencrypt/renewal-hooks/deploy/reload-nginx.sh
</code>

→ Podrobnosti: [[.:acme-integration|ACME integracija]]

**3. Kubernetes Cert-Manager:**

<code yaml>
apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: my-app-tls
spec:
  secretName: my-app-tls
  issuerRef:
    name: pq-issuer
    kind: ClusterIssuer
  dnsNames:
    - app.example.com
</code>

→ Podrobnosti: [[.:cert-manager-k8s|Cert-Manager]]

----

===== Povezana dokumentacija =====

  * [[..:tagesgeschaeft:start|Vsakodnevno poslovanje]] – Ročne operacije
  * [[..:monitoring:start|Nadzor]] – Spremljanje avtomatizacije
  * [[sl:int:pqcrypt:developer:integration|Integracija]] – API integracija

----

<< [[..:start|← Scenariji za operaterje]] | [[.:acme-integration|→ ACME integracija]] >>

----
//Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional//

{{tag>operator automatisierung acme cicd cert-manager}}