Entegrasyonên Key Venafi
Dev jixwe gelek kar hene ku bikin, û ji wan re jî tê xwestin ku xwediyê zanîna pispor a krîptografî û binesaziya mifteya giştî (PKI) bin. Ne rast e.
Bi rastî, divê her makîneyek xwedan sertîfîkayek TLS ya derbasdar be. Ew ji bo pêşkêşker, konteynir, makîneyên virtual, û di meşên karûbarê de hewce ne. Lê hejmara kilîtan û sertîfîkayan wekî topa berfê mezin dibe, û ger hûn her tiştî bi xwe bikin rêveberî zû kaotîk, biha û xeternak dibe. Bêyî sepandin û pratîkên şopandinê yên baş, karsazî dikarin ji ber sertîfîkayên qels an bidawîbûna nediyar zirarê bibînin.
GlobalSign û Venafi du webcast organîze kirin da ku alîkariya devops bikin. , û ya duyemîn - bi ji bo girêdana pergala PKI ji GlobalSign bi navgîniya ewrê Venafi ve bi karanîna amûrên çavkaniya vekirî bi HashiCorp Vault ji boriyê Jenkins CI/CD ve girêdayî ye.
Pirsgirêkên sereke yên pêvajoyên rêveberiya sertîfîkayê yên heyî ji hêla gelek proseduran ve têne çêkirin:
- Di OpenSSL de sertîfîkayên xwe-îmzakirî çêdikin.
- Bi gelek mînakên HashiCorp Vault re bixebitin da ku CA-ya taybet an sertîfîkayên xwe-îmzakirî birêve bibin.
- Tomarkirina serîlêdanên ji bo sertîfîkayên pêbawer.
- Bikaranîna sertîfîkayên ji pêşkêşkerên cloudê yên gelemperî.
- Xweser bikin Werin em nûvekirina sertîfîkayê şîfre bikin
- Nivîsandina senaryoyên xwe
- Xwe-avakirina amûrên DevOps ên mîna Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry
Hemî prosedurên xetera xeletiyê zêde dikin û dem dixwe. Venafî hewl dide van pirsgirêkan çareser bike û jiyana devokan hêsantir bike.
Demo GlobalSign û Venafi ji du beşan pêk tê. Pêşîn, meriv çawa Venafi Cloud û GlobalSign PKI saz dike. Dûv re meriv wê çawa bikar tîne da ku li gorî polîtîkayên sazkirî, bi karanîna amûrên nas, sertîfîkayan bixwaze.
Mijarên sereke:
- Otomatîzekirina belavkirina sertîfîkayê di nav metodolojiyên heyî yên DevOps CI/CD de (mînak, Jenkins).
- Gihîştina tavilê ya karûbarên PKI û sertîfîkayê li seranserê stûna serîlêdanê (derxistina sertîfîkayan di nav du çirkeyan de)
- Standardîzekirina binesaziya mifteya giştî bi çareseriyên amade ji bo entegrasyonê bi orkestrasyona konteynerê, rêveberiya razan û platformên otomasyonê (mînak, Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack û yên din). Pîlana giştî ya belavkirina sertîfîkayan di wêneya jêrîn de tê xuyang kirin.
Plana belavkirina sertîfîkayan bi HashiCorp Vault, Venafi Cloud û GlobalSign. Di diagramê de, CSR ji bo Daxwaza Îmzekirina Sertîfîkayê radiweste. - Rêbaza bilind û binesaziya PKI-ya pêbawer ji bo hawîrdorên dînamîkî, pir berbelav
- Bikaranîna komên ewlehiyê bi polîtîkayan û xuyangkirina sertîfîkayên hatine derxistin
Ev nêzîkatî dihêle hûn bêyî ku bibin pispor di krîptografî û PKI de pergalek pêbawer organîze bikin.
Venafi Secrets Engine
Venafi tewra îdia dike ku ew di demek dirêj de çareseriyek lêçûntir e, ji ber ku ew ne hewceyî tevlêbûna pisporên PKI-ya pir drav û lêçûnên piştgiriyê ye.
Çareserî bi tevahî di xeta CI/CD ya heyî de yekgirtî ye û hemî hewcedariyên sertîfîkayê yên pargîdaniyê vedigire. Bi vî rengî, pêşdebir û devop dikarin bêyî ku bi pirsgirêkên dijwar ên krîptografî re mijûl bibin zûtir bixebitin.
Source: www.habr.com