Inhaltsverzeichnis

Automatizacija

Prioritet 1 - Smanjuje ručni rad i pogreške
Ciljana skupina: DevOps, Platformski timovi

Upute za automatizaciju operacija s certifikatima u PQ-sposobnoj PKI infrastrukturi.

Pregled

flowchart TB subgraph TRIGGER["OKIDAČ"] T1[Vremenski kontrolirano] T2[Bazirano na događaju] T3[API zahtjev] end subgraph PROCESS["AUTOMATIZACIJA"] P1[ACME Client] P2[CI/CD Pipeline] P3[Cert-Manager] P4[Zakazani posao] end subgraph OUTPUT["REZULTAT"] O1[Certifikat deployiran] O2[Tajne rotirane] O3[CRL ažuriran] end T1 --> P4 --> O2 T2 --> P3 --> O1 T3 --> P1 --> O1 T3 --> P2 --> O1 style P1 fill:#fff3e0 style P2 fill:#e8f5e9 style P3 fill:#e3f2fd

Scenariji

Scenarij Opis Složenost Primjena
ACME integracija Let's Encrypt / ACME protokol s PQ Srednja Web serveri, API-ji
CI/CD potpisivanje koda Automatsko potpisivanje u pipelineima Visoka Softverska izdanja
Kubernetes Cert-Manager Automatizacija certifikata u Kubernetesu Visoka Cloud-Native aplikacije
Zakazana obnova Automatska obnova certifikata Niska Svi serveri

Stablo odlučivanja

flowchart TD A[Potreban novi certifikat] --> B{Okruženje?} B -->|Kubernetes| C[Cert-Manager] B -->|Klasični serveri| D{Javno dostupan?} B -->|CI/CD Pipeline| E[Pipeline potpisivanje] D -->|Da| F[ACME/Let's Encrypt] D -->|Ne| G[Zakazana obnova] C --> H[cert-manager.io + Issuer] F --> I[Certbot + Hook] G --> J[Cron + Skripta] E --> K[Sigstore/HSM] style C fill:#e3f2fd style F fill:#e8f5e9 style G fill:#fff3e0 style E fill:#fce4ec

Preduvjeti

Komponenta Verzija Svrha
—————————-
OpenSSL 3.6+ PQ algoritmi
Certbot 2.0+ ACME klijent
cert-manager 1.12+ Kubernetes
HashiCorp Vault 1.15+ Upravljanje tajnama

Brzi početak

1. Najjednostavnija automatizacija (Cron + Skripta): 

# /etc/cron.weekly/cert-renew
#!/bin/bash
/usr/local/bin/renew-certificates.sh >> /var/log/cert-renew.log 2>&1

Detalji: Zakazana obnova

2. ACME za javne web servere: 

# Certbot s DNS izazovom
certbot certonly --dns-cloudflare -d example.com --deploy-hook /etc/letsencrypt/renewal-hooks/deploy/reload-nginx.sh

Detalji: ACME integracija

3. Kubernetes Cert-Manager: 

apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: my-app-tls
spec:
  secretName: my-app-tls
  issuerRef:
    name: pq-issuer
    kind: ClusterIssuer
  dnsNames:
    - app.example.com

Detalji: Cert-Manager

Povezana dokumentacija

« <- Operatorski scenariji | -> ACME integracija »

Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional

, , , ,