OpenSSL - come rinnovare i certificati in produzione?

Naviga le tue risposte
1

Avere un numero di servizi di rete privati distribuiti su nodi diversi al di fuori di sistemi mesh crittografati opzionalmente, come Docker o Console.

I servizi hanno un valore elevato e dovrebbero comunicare solo tramite TLS, attualmente utilizzando OpenSSL.

Una volta che i certificati stanno per scadere nell'ambiente di produzione, dovrebbero essere rinnovati manualmente da sys-admin o in qualche modo potrebbe essere automatizzato?

È sicuro utilizzare le attività di cron per questo?

    
posta WildDev 23.12.2018 - 11:41
fonte

1 risposta

1

Il rinnovo del certificato può essere automatizzato a condizione che l'intera procedura (flusso di lavoro) sia ben definita, trasparente e approvata all'interno dell'azienda (dal team di sicurezza). Puoi utilizzare le attività pianificate (cron, nel tuo caso) in

  1. traccia la validità del certificato esistente
  2. Una volta che il certificato sta per scadere (superato l'80% della durata, ad esempio), genera un nuovo CSR sul sistema di destinazione
  3. Invia CSR al server CA
  4. Recupera certificato emesso
  5. Collega il nuovo certificato e la coppia di chiavi associata nelle applicazioni (server web).

Quando l'intero processo è sicuro (ovvero, le chiavi sono generate sul sistema di destinazione e non la lasciano, i CSR sono validati / revisionati e autenticati sul server CA e così via) Non vedo perché non possa essere automatizzato.

    
risposta data 23.12.2018 - 13:20
fonte

Leggi altre domande sui tag

Quali sono i vantaggi di un formato completo rispetto a un formato veloce quando si crittografa un disco rigido esterno? OSSEC Nuova installazione: analizza e analizza il registro completo?