summaryrefslogtreecommitdiff
path: root/Infrastruktur/Hosting/Benutzerzertifikat.mdwn
diff options
context:
space:
mode:
Diffstat (limited to 'Infrastruktur/Hosting/Benutzerzertifikat.mdwn')
-rw-r--r--Infrastruktur/Hosting/Benutzerzertifikat.mdwn30
1 files changed, 30 insertions, 0 deletions
diff --git a/Infrastruktur/Hosting/Benutzerzertifikat.mdwn b/Infrastruktur/Hosting/Benutzerzertifikat.mdwn
new file mode 100644
index 00000000..6e408df7
--- /dev/null
+++ b/Infrastruktur/Hosting/Benutzerzertifikat.mdwn
@@ -0,0 +1,30 @@
+[[!meta title="Verwaltung von Benutzerzertifikaten"]]
+
+Der Zugriff auf viele Ressourcen für die Administration von Starship Factory-Diensten erfordert ein gültiges Benutzerzertifikat. Diese werden üblicherweise durch [[Benutzer/caoimhe]] für maximal 90 Tage ausgestellt.
+
+Zertifikate befinden sich im git-Repository `git+ssh://git@starship-factory.ch:2222/ca-certificates.git` im Verzeichnis *users*.
+
+## Welche Dienste benutzen Clientzertifikate?
+
+* [[Kubernetes|kubernetes-and-ceph]]
+* VPN
+* Sämtliche gRPC-Services in Produktion
+
+## Neues Benutzerzertifikat anlegen
+
+Um ein neues Benutzerzertifikat anzulegen, muss zuerst eine Zertifikatsanfrage gestellt werden. Dazu erzeugen wir eine entsprechende Datei:
+
+`$ umask 077`
+`$ openssl req -new -newkey rsa:4096 -keyout meinuser.key -out meinuser.csr -nodes -subj /OU=starship-factory/CN=meinuser`
+
+Hierbei sollte *meinuser* selbstverständlich durch den eigenen Benutzernamen ersetzt werden.
+
+Die csr-Datei sollte dann in das *users*-Verzeichnis verschoben werden und mittels `git add meinuser.csr && git commit && git push` hochgeladen. Wichtig: nicht die .key-Datei hochladen! Diese sollte sicher gespeichert und mit niemandem geteilt werden.
+
+Nun muss die Anfrage gegenüber [[Benutzer/caoimhe]] autorisiert werden. Das kann durch ein persönliches Treffen geschehen oder durch eine Signatur durch einen vormalig autorisierten PGP-Schlüssel.
+
+Nachdem [[Benutzer/caoimhe]] ihre Arbeit erledigt hat, sollte sich eine Datei namens `meinuser.crt` im Git-Verzeichnis befinden. Diese Datei kann nun zur Authentifizierung benutzt werden.
+
+## Benutzerzertifikat erneuern
+
+Leider haben wir noch keine automatisierten Prozesse zur Erneuerung der Zertifikate (sonst würden wir auch die Erstellung komplett automatisieren). Daher einfach [[Benutzer/caoimhe]] kontaktieren und das erneuerte Zertifikat aus dem *ca-certificates*-Git fischen.
generated by cgit v1.2.1 (git 2.18.0) at 2024-04-19 11:59:45 +0000