Inhaltsverzeichnis
Automatisierung
Priorität 1 – Reduziert manuelle Arbeit und Fehler
Zielgruppe: DevOps, Plattform-Teams
Anleitungen zur Automatisierung von Zertifikatsoperationen in einer PQ-fähigen PKI.
Übersicht
flowchart TB
subgraph TRIGGER["🎯 TRIGGER"]
T1[Zeitgesteuert]
T2[Event-basiert]
T3[API-Request]
end
subgraph PROCESS["⚙️ AUTOMATION"]
P1[ACME Client]
P2[CI/CD Pipeline]
P3[Cert-Manager]
P4[Scheduled Job]
end
subgraph OUTPUT["📤 ERGEBNIS"]
O1[Zertifikat deployed]
O2[Secrets rotiert]
O3[CRL aktualisiert]
end
T1 --> P4 --> O2
T2 --> P3 --> O1
T3 --> P1 --> O1
T3 --> P2 --> O1
style P1 fill:#fff3e0
style P2 fill:#e8f5e9
style P3 fill:#e3f2fd
Szenarien
| Szenario | Beschreibung | Komplexität | Use Case |
|---|---|---|---|
| ACME Integration | Let's Encrypt / ACME-Protokoll mit PQ | Mittel | Web-Server, APIs |
| CI/CD Code-Signing | Automatisches Signieren in Pipelines | Hoch | Software-Releases |
| Kubernetes Cert-Manager | Zertifikate in Kubernetes automatisieren | Hoch | Cloud-Native Apps |
| Scheduled Renewal | Automatische Zertifikatserneuerung | Niedrig | Alle Server |
Entscheidungsbaum
flowchart TD
A[Neues Zertifikat benötigt] --> B{Umgebung?}
B -->|Kubernetes| C[Cert-Manager]
B -->|Klassische Server| D{Internet-facing?}
B -->|CI/CD Pipeline| E[Pipeline-Signing]
D -->|Ja| F[ACME/Let's Encrypt]
D -->|Nein| G[Scheduled Renewal]
C --> H[cert-manager.io + Issuer]
F --> I[Certbot + Hook]
G --> J[Cron + Script]
E --> K[Sigstore/HSM]
style C fill:#e3f2fd
style F fill:#e8f5e9
style G fill:#fff3e0
style E fill:#fce4ec
Voraussetzungen
| Komponente | Version | Zweck |
| ———— | ——— | ——- |
| OpenSSL | 3.6+ | PQ-Algorithmen |
| Certbot | 2.0+ | ACME Client |
| cert-manager | 1.12+ | Kubernetes |
| HashiCorp Vault | 1.15+ | Secrets Management |
Quick Start
1. Einfachste Automation (Cron + Script):
# /etc/cron.weekly/cert-renew #!/bin/bash /usr/local/bin/renew-certificates.sh >> /var/log/cert-renew.log 2>&1
→ Details: Scheduled Renewal
2. ACME für öffentliche Webserver:
# Certbot mit DNS-Challenge certbot certonly --dns-cloudflare -d example.com --deploy-hook /etc/letsencrypt/renewal-hooks/deploy/reload-nginx.sh
→ Details: ACME Integration
3. Kubernetes Cert-Manager:
apiVersion: cert-manager.io/v1 kind: Certificate metadata: name: my-app-tls spec: secretName: my-app-tls issuerRef: name: pq-issuer kind: ClusterIssuer dnsNames: - app.example.com
→ Details: Cert-Manager
Verwandte Dokumentation
- Tagesgeschäft – Manuelle Operationen
- Monitoring – Überwachung der Automation
- Integration – API-Integration
« ← Operator-Szenarien | → ACME Integration »
Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional
Zuletzt geändert: den 29.01.2026 um 15:12
