Avtomatizacija

Prioriteta 1 – Zmanjšuje ročno delo in napake
Ciljna skupina: DevOps, platformne ekipe

Navodila za avtomatizacijo operacij s certifikati v PKI z PQ-zmožnostjo.

Pregled

flowchart TB subgraph TRIGGER["SPROŽILEC"] T1[Časovno nadzorovano] T2[Dogodkovno] T3[API zahteva] end subgraph PROCESS["AVTOMATIZACIJA"] P1[ACME odjemalec] P2[CI/CD cevovod] P3[Cert-Manager] P4[Načrtovana naloga] end subgraph OUTPUT["REZULTAT"] O1[Certifikat nameščen] O2[Skrivnosti rotirane] O3[CRL posodobljen] end T1 --> P4 --> O2 T2 --> P3 --> O1 T3 --> P1 --> O1 T3 --> P2 --> O1 style P1 fill:#fff3e0 style P2 fill:#e8f5e9 style P3 fill:#e3f2fd

Scenariji

Scenarij	Opis	Kompleksnost	Primer uporabe
ACME integracija	Let's Encrypt / ACME protokol s PQ	Srednja	Spletni strežniki, API-ji
CI/CD podpisovanje kode	Avtomatsko podpisovanje v cevovodih	Visoka	Izdaje programske opreme
Kubernetes Cert-Manager	Avtomatizacija certifikatov v Kubernetes	Visoka	Cloud-native aplikacije
Načrtovana obnova	Avtomatska obnova certifikatov	Nizka	Vsi strežniki

Drevo odločitev

flowchart TD A[Nov certifikat potreben] --> B{Okolje?} B -->|Kubernetes| C[Cert-Manager] B -->|Klasični strežniki| D{Dostopen iz interneta?} B -->|CI/CD cevovod| E[Podpisovanje v cevovodu] D -->|Da| F[ACME/Let's Encrypt] D -->|Ne| G[Načrtovana obnova] C --> H[cert-manager.io + Issuer] F --> I[Certbot + Hook] G --> J[Cron + skripta] E --> K[Sigstore/HSM] style C fill:#e3f2fd style F fill:#e8f5e9 style G fill:#fff3e0 style E fill:#fce4ec

Predpogoji

Komponenta	Verzija	Namen
————	———	——-
OpenSSL	3.6+	PQ algoritmi
Certbot	2.0+	ACME odjemalec
cert-manager	1.12+	Kubernetes
HashiCorp Vault	1.15+	Upravljanje skrivnosti

Hiter začetek

1. Najenostavnejša avtomatizacija (Cron + skripta):

# /etc/cron.weekly/cert-renew
#!/bin/bash
/usr/local/bin/renew-certificates.sh >> /var/log/cert-renew.log 2>&1

→ Podrobnosti: Načrtovana obnova

2. ACME za javne spletne strežnike:

# Certbot z DNS izzivom
certbot certonly --dns-cloudflare -d example.com --deploy-hook /etc/letsencrypt/renewal-hooks/deploy/reload-nginx.sh

→ Podrobnosti: ACME integracija

3. Kubernetes Cert-Manager:

apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: my-app-tls
spec:
  secretName: my-app-tls
  issuerRef:
    name: pq-issuer
    kind: ClusterIssuer
  dnsNames:
    - app.example.com

→ Podrobnosti: Cert-Manager

Povezana dokumentacija

Vsakodnevno poslovanje – Ročne operacije
Nadzor – Spremljanje avtomatizacije
Integracija – API integracija

« ← Scenariji za operaterje | → ACME integracija »

Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional

operator, automatisierung, acme, cicd, cert-manager