开发人员已经有很多工作要做,他们还需要具备密码学和公钥基础设施 (PKI) 的专业知识。 这是不对的。
事实上,每台机器都必须拥有有效的 TLS 证书。 服务器、容器、虚拟机和服务网格都需要它们。 但密钥和证书的数量像滚雪球一样增长,如果你自己做所有事情,管理很快就会变得混乱、昂贵和危险。 如果没有良好的政策执行和监控实践,企业可能会因证书薄弱或意外过期而遭受损失。
GlobalSign 和 Venafi 组织了两次网络广播来帮助开发人员。
现有证书管理流程的主要问题是由大量的程序造成的:
- 在 OpenSSL 中生成自签名证书。
- 使用多个 HashiCorp Vault 实例来管理私有 CA 或自签名证书。
- 可信证书申请的注册。
- 使用公共云提供商的证书。
- 自动更新 Let's Encrypt 证书
- 编写自己的脚本
- Red Hat Ansible、Kubernetes、Pivotal Cloud Foundry 等 DevOps 工具的自配置
所有程序都会增加出错的风险并且非常耗时。 Venafi 正在努力解决这些问题,让 DevOps 的生活变得更轻松。
GlobalSign 和 Venafi 演示由两部分组成。 首先,如何设置 Venafi Cloud 和 GlobalSign PKI。 然后如何使用它根据既定策略,使用熟悉的工具来请求证书。
关键主题:
- 现有 DevOps CI/CD 方法(例如 Jenkins)中证书颁发的自动化。
- 跨整个应用程序堆栈即时访问 PKI 和证书服务(两秒内颁发证书)
- 通过现成的解决方案实现公钥基础设施的标准化,以便与容器编排、机密管理和自动化平台(例如 Kubernetes、OpenShift、Terraform、HashiCorp Vault、Ansible、SaltStack 等)集成。 颁发证书的一般方案如下图所示。
通过 HashiCorp Vault、Venafi Cloud 和 GlobalSign 颁发证书的方案。 图中,CSR 代表证书签名请求。 - 高吞吐量和可靠的 PKI 基础设施,适用于动态、高度可扩展的环境
- 通过策略和已颁发证书的可见性使用安全组
这种方法允许您组织一个可靠的系统,而无需成为密码学和 PKI 专家。
Venafi 甚至声称,从长远来看,这是一个更具成本效益的解决方案,因为它不需要高薪 PKI 专家的参与和支持成本。
该解决方案完全集成到现有的 CI/CD 管道中,涵盖公司的所有证书需求。 这样,开发人员和开发人员可以更快地工作,而不必处理困难的加密问题。
来源: habr.com