Inhaltsverzeichnis
Automatizacija
Prioritet 1 - Smanjuje ručni rad i pogreške
Ciljana skupina: DevOps, Platformski timovi
Upute za automatizaciju operacija s certifikatima u PQ-sposobnoj PKI infrastrukturi.
Pregled
flowchart TB
subgraph TRIGGER["OKIDAČ"]
T1[Vremenski kontrolirano]
T2[Bazirano na događaju]
T3[API zahtjev]
end
subgraph PROCESS["AUTOMATIZACIJA"]
P1[ACME Client]
P2[CI/CD Pipeline]
P3[Cert-Manager]
P4[Zakazani posao]
end
subgraph OUTPUT["REZULTAT"]
O1[Certifikat deployiran]
O2[Tajne rotirane]
O3[CRL ažuriran]
end
T1 --> P4 --> O2
T2 --> P3 --> O1
T3 --> P1 --> O1
T3 --> P2 --> O1
style P1 fill:#fff3e0
style P2 fill:#e8f5e9
style P3 fill:#e3f2fd
Scenariji
| Scenarij | Opis | Složenost | Primjena |
|---|---|---|---|
| ACME integracija | Let's Encrypt / ACME protokol s PQ | Srednja | Web serveri, API-ji |
| CI/CD potpisivanje koda | Automatsko potpisivanje u pipelineima | Visoka | Softverska izdanja |
| Kubernetes Cert-Manager | Automatizacija certifikata u Kubernetesu | Visoka | Cloud-Native aplikacije |
| Zakazana obnova | Automatska obnova certifikata | Niska | Svi serveri |
Stablo odlučivanja
flowchart TD
A[Potreban novi certifikat] --> B{Okruženje?}
B -->|Kubernetes| C[Cert-Manager]
B -->|Klasični serveri| D{Javno dostupan?}
B -->|CI/CD Pipeline| E[Pipeline potpisivanje]
D -->|Da| F[ACME/Let's Encrypt]
D -->|Ne| G[Zakazana obnova]
C --> H[cert-manager.io + Issuer]
F --> I[Certbot + Hook]
G --> J[Cron + Skripta]
E --> K[Sigstore/HSM]
style C fill:#e3f2fd
style F fill:#e8f5e9
style G fill:#fff3e0
style E fill:#fce4ec
Preduvjeti
| Komponenta | Verzija | Svrha |
| ———— | ——— | ——- |
| OpenSSL | 3.6+ | PQ algoritmi |
| Certbot | 2.0+ | ACME klijent |
| cert-manager | 1.12+ | Kubernetes |
| HashiCorp Vault | 1.15+ | Upravljanje tajnama |
Brzi početak
1. Najjednostavnija automatizacija (Cron + Skripta):
# /etc/cron.weekly/cert-renew #!/bin/bash /usr/local/bin/renew-certificates.sh >> /var/log/cert-renew.log 2>&1
Detalji: Zakazana obnova
2. ACME za javne web servere:
# Certbot s DNS izazovom certbot certonly --dns-cloudflare -d example.com --deploy-hook /etc/letsencrypt/renewal-hooks/deploy/reload-nginx.sh
Detalji: ACME integracija
3. Kubernetes Cert-Manager:
apiVersion: cert-manager.io/v1 kind: Certificate metadata: name: my-app-tls spec: secretName: my-app-tls issuerRef: name: pq-issuer kind: ClusterIssuer dnsNames: - app.example.com
Detalji: Cert-Manager
Povezana dokumentacija
- Svakodnevni rad - Ručne operacije
- Nadzor - Praćenje automatizacije
- Integracija - API integracija
« <- Operatorski scenariji | -> ACME integracija »
Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional
Zuletzt geändert: 30.01.2026. u 01:28
