Inhaltsverzeichnis
Avtomatizacija
Prioriteta 1 – Zmanjšuje ročno delo in napake
Ciljna skupina: DevOps, platformne ekipe
Navodila za avtomatizacijo operacij s certifikati v PKI z PQ-zmožnostjo.
Pregled
flowchart TB
subgraph TRIGGER["SPROŽILEC"]
T1[Časovno nadzorovano]
T2[Dogodkovno]
T3[API zahteva]
end
subgraph PROCESS["AVTOMATIZACIJA"]
P1[ACME odjemalec]
P2[CI/CD cevovod]
P3[Cert-Manager]
P4[Načrtovana naloga]
end
subgraph OUTPUT["REZULTAT"]
O1[Certifikat nameščen]
O2[Skrivnosti rotirane]
O3[CRL posodobljen]
end
T1 --> P4 --> O2
T2 --> P3 --> O1
T3 --> P1 --> O1
T3 --> P2 --> O1
style P1 fill:#fff3e0
style P2 fill:#e8f5e9
style P3 fill:#e3f2fd
Scenariji
| Scenarij | Opis | Kompleksnost | Primer uporabe |
|---|---|---|---|
| ACME integracija | Let's Encrypt / ACME protokol s PQ | Srednja | Spletni strežniki, API-ji |
| CI/CD podpisovanje kode | Avtomatsko podpisovanje v cevovodih | Visoka | Izdaje programske opreme |
| Kubernetes Cert-Manager | Avtomatizacija certifikatov v Kubernetes | Visoka | Cloud-native aplikacije |
| Načrtovana obnova | Avtomatska obnova certifikatov | Nizka | Vsi strežniki |
Drevo odločitev
flowchart TD
A[Nov certifikat potreben] --> B{Okolje?}
B -->|Kubernetes| C[Cert-Manager]
B -->|Klasični strežniki| D{Dostopen iz interneta?}
B -->|CI/CD cevovod| E[Podpisovanje v cevovodu]
D -->|Da| F[ACME/Let's Encrypt]
D -->|Ne| G[Načrtovana obnova]
C --> H[cert-manager.io + Issuer]
F --> I[Certbot + Hook]
G --> J[Cron + skripta]
E --> K[Sigstore/HSM]
style C fill:#e3f2fd
style F fill:#e8f5e9
style G fill:#fff3e0
style E fill:#fce4ec
Predpogoji
| Komponenta | Verzija | Namen |
| ———— | ——— | ——- |
| OpenSSL | 3.6+ | PQ algoritmi |
| Certbot | 2.0+ | ACME odjemalec |
| cert-manager | 1.12+ | Kubernetes |
| HashiCorp Vault | 1.15+ | Upravljanje skrivnosti |
Hiter začetek
1. Najenostavnejša avtomatizacija (Cron + skripta):
# /etc/cron.weekly/cert-renew #!/bin/bash /usr/local/bin/renew-certificates.sh >> /var/log/cert-renew.log 2>&1
→ Podrobnosti: Načrtovana obnova
2. ACME za javne spletne strežnike:
# Certbot z DNS izzivom certbot certonly --dns-cloudflare -d example.com --deploy-hook /etc/letsencrypt/renewal-hooks/deploy/reload-nginx.sh
→ Podrobnosti: ACME integracija
3. Kubernetes Cert-Manager:
apiVersion: cert-manager.io/v1 kind: Certificate metadata: name: my-app-tls spec: secretName: my-app-tls issuerRef: name: pq-issuer kind: ClusterIssuer dnsNames: - app.example.com
→ Podrobnosti: Cert-Manager
Povezana dokumentacija
- Vsakodnevno poslovanje – Ročne operacije
- Nadzor – Spremljanje avtomatizacije
- Integracija – API integracija
« ← Scenariji za operaterje | → ACME integracija »
Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional
Zuletzt geändert: dne 30.01.2026 ob 07:17
