ديوين وٽ اڳ ۾ ئي ڪم ڪرڻ لاءِ تمام گھڻو ڪم آھي، ۽ انھن کي پڻ ضروري آھي ته ڪرپٽ گرافي ۽ پبلڪ ڪيئي انفراسٽرڪچر (PKI) جي ماهر ڄاڻ ھجي. اهو صحيح ناهي.
درحقيقت، هر مشين کي هڪ صحيح TLS سرٽيفڪيٽ هجڻ گهرجي. اهي سرورز، ڪنٽينرز، ورچوئل مشينن ۽ سروس ميشز لاءِ گهربل آهن. پر چاٻين ۽ سرٽيفڪيٽن جو تعداد سنو بال وانگر وڌي ٿو، ۽ انتظام جلدي افراتفري، مهانگو ۽ خطرناڪ ٿي وڃي ٿو جيڪڏهن توهان سڀ ڪجهه پاڻ ڪريو ٿا. سٺي پاليسي لاڳو ڪرڻ ۽ نگراني جي عملن جي بغير، ڪاروبار ڪمزور سرٽيفڪيٽ يا غير متوقع ختم ٿيڻ جي ڪري متاثر ٿي سگهن ٿا.
GlobalSign ۽ Venafi منظم ڪيو ٻن ويب ڪاسٽن کي مدد ڏيڻ لاءِ.
موجوده سرٽيفڪيٽ مينيجمينٽ جي عملن جا بنيادي مسئلا ڪيترن ئي طريقن جي سبب آهن:
- OpenSSL ۾ خود دستخط ٿيل سرٽيفڪيٽ ٺاهڻ.
- نجي CA يا خود دستخط ٿيل سرٽيفڪيٽن کي منظم ڪرڻ لاءِ ڪيترن ئي HashiCorp Vault مثالن سان ڪم ڪريو.
- قابل اعتماد سرٽيفڪيٽ لاء درخواستن جي رجسٽريشن.
- عوامي بادل فراهم ڪندڙن کان سرٽيفڪيٽ استعمال ڪندي.
- Automate Let's Encrypt سرٽيفڪيٽ جي تجديد
- پنهنجا اسڪرپٽ لکڻ
- DevOps اوزار جي خود ترتيب ڏيڻ جهڙوڪ Red Hat Ansible، Kubernetes، Pivotal Cloud Foundry
سڀئي طريقا غلطي جي خطري کي وڌائي ٿو ۽ وقت سازي وارا آهن. وينفي انهن مسئلن کي حل ڪرڻ جي ڪوشش ڪري رهيو آهي ۽ ڊيوپس جي زندگي کي آسان بڻائي ٿو.
GlobalSign ۽ Venafi ڊيمو ٻن حصن تي مشتمل آهي. پهريون، ڪيئن سيٽ اپ ڪيو Venafi Cloud ۽ GlobalSign PKI. پوءِ ان کي ڪيئن استعمال ڪجي سرٽيفڪيٽ جي درخواست لاءِ قائم ڪيل پاليسين مطابق، واقف اوزار استعمال ڪندي.
اهم موضوع:
- موجوده DevOps CI/CD طريقن جي اندر سرٽيفڪيٽ جاري ڪرڻ جو خودڪار طريقو (مثال طور، جينڪنز).
- PKI تائين فوري رسائي ۽ پوري ايپليڪيشن اسٽيڪ ۾ سرٽيفڪيٽ سروسز (ٻن سيڪنڊن اندر سرٽيفڪيٽ جاري ڪرڻ)
- ڪنٽينر آرڪيسٽريشن، رازن جي انتظام ۽ آٽوميشن پليٽ فارمن (مثال طور، Kubernetes، OpenShift، Terraform، HashiCorp Vault، Ansible، SaltStack ۽ ٻيا). سرٽيفڪيٽ جاري ڪرڻ لاءِ عام اسڪيم هيٺ ڏنل تصوير ۾ ڏيکاريل آهي.
HashiCorp Vault، Venafi Cloud ۽ GlobalSign ذريعي سرٽيفڪيٽ جاري ڪرڻ جي اسڪيم. آريگرام ۾، CSR سرٽيفڪيٽ جي دستخط جي درخواست لاء بيٺل آهي. - متحرڪ، انتهائي اسپيبلبل ماحول لاء اعلي throughput ۽ قابل اعتماد PKI انفراسٹرڪچر
- جاري ڪيل سرٽيفڪيٽن جي پاليسين ۽ نمائش ذريعي سيڪيورٽي گروپن کي استعمال ڪندي
اهو طريقو توهان کي اجازت ڏئي ٿو هڪ قابل اعتماد سسٽم کي منظم ڪرڻ جي بغير cryptography ۽ PKI ۾ ماهر.
وينفي اڃا به دعوي ڪري ٿو ته اهو ڊگهي عرصي ۾ هڪ وڌيڪ قيمتي موثر حل آهي، ڇاڪاڻ ته اهو انتهائي ادا ڪيل PKI ماهرن ۽ سپورٽ جي خرچن جي شموليت جي ضرورت ناهي.
حل مڪمل طور تي موجوده CI/CD پائپ لائن ۾ ضم ٿيل آهي ۽ سڀني ڪمپني جي سرٽيفڪيٽ جي ضرورتن کي ڍڪي ٿو. هن طريقي سان، ڊولپرز ۽ ڊيوپس تيز ڪم ڪري سگهن ٿا بغير ڪنهن ڏکئي رپيٽوگرافڪ مسئلن سان معاملو ڪرڻ جي.
جو ذريعو: www.habr.com