Prioriteta 2 – Kritično za produkcijsko delovanje
Ciljna skupina: DevOps, SRE, IT-operacije
Spremljanje PKI infrastrukture s poudarkom na izteku certifikatov, razpoložljivosti in skladnosti.
| Scenarij | Opis | Orodja |
|---|---|---|
| Nadzor izteka | Spremljanje izteka certifikatov | Prometheus, Grafana |
| Preverjanje preklica | Preverjanje razpoložljivosti CRL/OCSP | curl, OpenSSL |
| Revizijsko beleženje | Beleženje skladno s predpisi | Syslog, ELK |
| Nastavitev opozarjanja | Konfiguracija obvestil | Alertmanager, PagerDuty |
| Metrika | Opis | Pragovi |
| ——— | —— | ——— |
cert_expiry_days | Dni do izteka | Opozorilo: 30, Kritično: 7 |
crl_next_update_days | Dni do posodobitve CRL | Opozorilo: 3, Kritično: 1 |
ocsp_response_time_ms | Odzivni čas OCSP | Opozorilo: 500, Kritično: 2000 |
ca_availability | CA dosegljiv (0/1) | Kritično: 0 |
signing_ops_per_hour | Operacije podpisovanja | Info |
Minimalna nastavitev (5 minut):
# 1. Namestitev cert-exporter wget https://github.com/enix/cert-exporter/releases/download/v2.0.0/cert-exporter_2.0.0_linux_amd64.tar.gz tar xzf cert-exporter_*.tar.gz ./cert-exporter --kubeconfig="" --files /etc/ssl/certs/*.pem & # 2. Preverjanje iztekajočih certifikatov curl -s localhost:9793/metrics | grep cert_expires_in_seconds
| Okolje | Sklad | Opis |
| ——– | ——- | —— |
| Majhno (<100 cert.) | Skripta + E-pošta | Cron opravilo z e-poštnimi opozorili |
| Srednje (100-1000) | Prometheus + Grafana | Standardni nadzor |
| Veliko (>1000) | ELK + Grafana + PagerDuty | Podjetniški sklad |
| Kubernetes | cert-manager + Prometheus | Izvorna integracija |
« ← Scenariji za operaterje | → Nadzor izteka »
Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional