Inhaltsverzeichnis
Operator-Szenarien
Zielgruppe: Systemadministratoren, PKI-Operatoren, DevOps
Fokus: Tagesgeschäft, Runbooks, Checklisten, Automatisierung
Praxisorientierte Anleitungen für den operativen Betrieb einer PQ-fähigen PKI.
Übersicht
flowchart TB
subgraph DAILY["📋 TAGESGESCHÄFT"]
D1[Zertifikat ausstellen]
D2[Zertifikat erneuern]
D3[Zertifikat widerrufen]
D4[Health Check]
end
subgraph AUTO["⚙️ AUTOMATISIERUNG"]
A1[ACME/Let's Encrypt]
A2[CI/CD Signing]
A3[Kubernetes Cert-Manager]
A4[Scheduled Renewal]
end
subgraph MON["📊 MONITORING"]
M1[Ablauf-Monitoring]
M2[Revocation-Check]
M3[Audit-Logging]
M4[Alerting]
end
subgraph MIG["🔄 MIGRATION"]
G1[Classic → Hybrid]
G2[Parallel-Betrieb]
G3[Rollback]
G4[Inventur]
end
subgraph DR["🛡️ DISASTER RECOVERY"]
R1[CA Backup/Restore]
R2[Key Ceremony]
R3[Notfall-Revocation]
end
subgraph CLOUD["☁️ CLOUD"]
C1[Azure Key Vault]
C2[AWS KMS]
C3[HashiCorp Vault]
end
DAILY --> AUTO
AUTO --> MON
MON --> MIG
MIG --> DR
style D1 fill:#e8f5e9
style A1 fill:#fff3e0
style M1 fill:#e3f2fd
style G1 fill:#fce4ec
Kategorien
Tagesgeschäft
Runbooks für tägliche operative Aufgaben.
| Runbook | Beschreibung | Dauer |
|---|---|---|
| Zertifikat ausstellen | CSR prüfen, signieren, ausliefern | ~10 Min |
| Zertifikat erneuern | Ablaufende Zertifikate erneuern | ~15 Min |
| Zertifikat widerrufen | Kompromittierte Zertifikate sperren | ~5 Min |
| Health Check | Tägliche Systemprüfung | ~5 Min |
Automatisierung
Priorität 1 – Reduziert manuelle Arbeit und Fehler
| Szenario | Beschreibung | Komplexität |
|---|---|---|
| ACME Integration | Let's Encrypt / ACME-Protokoll | Mittel |
| CI/CD Code-Signing | Automatisches Signieren in Pipelines | Hoch |
| Kubernetes Cert-Manager | Zertifikate in K8s | Hoch |
| Scheduled Renewal | Automatische Erneuerung | Niedrig |
Monitoring & Alerting
Priorität 2 – Kritisch für Produktionsbetrieb
| Szenario | Beschreibung | Tools |
|---|---|---|
| Ablauf-Monitoring | Zertifikatsablauf überwachen | Prometheus, Grafana |
| Revocation-Check | CRL/OCSP Verfügbarkeit | curl, PowerShell |
| Audit-Logging | Compliance-konforme Protokollierung | Syslog, ELK |
| Alerting Setup | Benachrichtigungen einrichten | PagerDuty, Teams |
Migration
Priorität 3 – Für bestehende PKI-Infrastrukturen
| Szenario | Beschreibung | Risiko |
|---|---|---|
| Classic → Hybrid | RSA/ECDSA zu Hybrid migrieren | Mittel |
| Parallel-Betrieb | Klassisch + PQ gleichzeitig | Niedrig |
| Rollback-Strategie | Notfall-Rückfall planen | - |
| Zertifikats-Inventur | Bestandsaufnahme | Niedrig |
Disaster Recovery
| Szenario | Beschreibung | Kritisch |
|---|---|---|
| CA Backup/Restore | CA-Schlüssel sichern und wiederherstellen | Ja |
| Key Ceremony | Sichere Schlüsselgenerierung | Ja |
| Notfall-Revocation | Massenhafte Sperrung | Ja |
Cloud Integration
| Szenario | Cloud | HSM |
|---|---|---|
| Azure Key Vault | Azure | Managed HSM |
| AWS KMS | AWS | CloudHSM |
| HashiCorp Vault | Multi-Cloud | Transit |
Schnellstart für Operatoren
Tag 1: Grundlagen
- Health Check durchführen
- Erstes Zertifikat ausstellen
Woche 1: Automatisierung
- Automatische Erneuerung einrichten
- Ablauf-Monitoring konfigurieren
Monat 1: Produktion
- Alerting einrichten
- Backup-Strategie implementieren
Verwandte Dokumentation
- Kurzreferenz – Kompakte Code-Beispiele
- Administrator-Handbuch – Installation, Konfiguration
- Alle Szenarien – Technische Referenz
Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional
Zuletzt geändert: den 29.01.2026 um 15:13
