Dev jixwe gelek kar hene ku bikin, û ji wan re jî tê xwestin ku xwediyê zanîna pispor a krîptografî û binesaziya mifteya giştî (PKI) bin. Ne rast e.
Bi rastî, divê her makîneyek xwedan sertîfîkayek TLS ya derbasdar be. Ew ji bo pêşkêşker, konteynir, makîneyên virtual, û di meşên karûbarê de hewce ne. Lê hejmara kilîtan û sertîfîkayan wekî topa berfê mezin dibe, û ger hûn her tiştî bi xwe bikin rêveberî zû kaotîk, biha û xeternak dibe. Bêyî sepandin û pratîkên şopandinê yên baş, karsazî dikarin ji ber sertîfîkayên qels an bidawîbûna nediyar zirarê bibînin.
GlobalSign û Venafi du webcast organîze kirin da ku alîkariya devops bikin.
Pirsgirêkên sereke yên pêvajoyên rêveberiya sertîfîkayê yên heyî ji hêla gelek proseduran ve têne çêkirin:
- Di OpenSSL de sertîfîkayên xwe-îmzakirî çêdikin.
- Bi gelek mînakên HashiCorp Vault re bixebitin da ku CA-ya taybet an sertîfîkayên xwe-îmzakirî birêve bibin.
- Tomarkirina serîlêdanên ji bo sertîfîkayên pêbawer.
- Bikaranîna sertîfîkayên ji pêşkêşkerên cloudê yên gelemperî.
- Xweser bikin Werin em nûvekirina sertîfîkayê şîfre bikin
- Nivîsandina senaryoyên xwe
- Xwe-avakirina amûrên DevOps ên mîna Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry
Hemî prosedurên xetera xeletiyê zêde dikin û dem dixwe. Venafî hewl dide van pirsgirêkan çareser bike û jiyana devokan hêsantir bike.
Demo GlobalSign û Venafi ji du beşan pêk tê. Pêşîn, meriv çawa Venafi Cloud û GlobalSign PKI saz dike. Dûv re meriv wê çawa bikar tîne da ku li gorî polîtîkayên sazkirî, bi karanîna amûrên nas, sertîfîkayan bixwaze.
Mijarên sereke:
- Otomatîzekirina belavkirina sertîfîkayê di nav metodolojiyên heyî yên DevOps CI/CD de (mînak, Jenkins).
- Gihîştina tavilê ya karûbarên PKI û sertîfîkayê li seranserê stûna serîlêdanê (derxistina sertîfîkayan di nav du çirkeyan de)
- Standardîzekirina binesaziya mifteya giştî bi çareseriyên amade ji bo entegrasyonê bi orkestrasyona konteynerê, rêveberiya razan û platformên otomasyonê (mînak, Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack û yên din). Pîlana giştî ya belavkirina sertîfîkayan di wêneya jêrîn de tê xuyang kirin.
Plana belavkirina sertîfîkayan bi HashiCorp Vault, Venafi Cloud û GlobalSign. Di diagramê de, CSR ji bo Daxwaza Îmzekirina Sertîfîkayê radiweste. - Rêbaza bilind û binesaziya PKI-ya pêbawer ji bo hawîrdorên dînamîkî, pir berbelav
- Bikaranîna komên ewlehiyê bi polîtîkayan û xuyangkirina sertîfîkayên hatine derxistin
Ev nêzîkatî dihêle hûn bêyî ku bibin pispor di krîptografî û PKI de pergalek pêbawer organîze bikin.
Venafi tewra îdia dike ku ew di demek dirêj de çareseriyek lêçûntir e, ji ber ku ew ne hewceyî tevlêbûna pisporên PKI-ya pir drav û lêçûnên piştgiriyê ye.
Çareserî bi tevahî di xeta CI/CD ya heyî de yekgirtî ye û hemî hewcedariyên sertîfîkayê yên pargîdaniyê vedigire. Bi vî rengî, pêşdebir û devop dikarin bêyî ku bi pirsgirêkên dijwar ên krîptografî re mijûl bibin zûtir bixebitin.
Source: www.habr.com