From 708dc2062882397247904438e883aae70267e389 Mon Sep 17 00:00:00 2001 From: Caoimhe Chaos Date: Mon, 3 Feb 2020 02:36:13 +0100 Subject: Etwas Dokumentation um die Benutzung von kubectl und TLS. --- Infrastruktur/Hosting/Benutzerzertifikat.mdwn | 30 +++++++++++++++++++++++++++ 1 file changed, 30 insertions(+) create mode 100644 Infrastruktur/Hosting/Benutzerzertifikat.mdwn (limited to 'Infrastruktur/Hosting/Benutzerzertifikat.mdwn') diff --git a/Infrastruktur/Hosting/Benutzerzertifikat.mdwn b/Infrastruktur/Hosting/Benutzerzertifikat.mdwn new file mode 100644 index 00000000..6e408df7 --- /dev/null +++ b/Infrastruktur/Hosting/Benutzerzertifikat.mdwn @@ -0,0 +1,30 @@ +[[!meta title="Verwaltung von Benutzerzertifikaten"]] + +Der Zugriff auf viele Ressourcen für die Administration von Starship Factory-Diensten erfordert ein gültiges Benutzerzertifikat. Diese werden üblicherweise durch [[Benutzer/caoimhe]] für maximal 90 Tage ausgestellt. + +Zertifikate befinden sich im git-Repository `git+ssh://git@starship-factory.ch:2222/ca-certificates.git` im Verzeichnis *users*. + +## Welche Dienste benutzen Clientzertifikate? + +* [[Kubernetes|kubernetes-and-ceph]] +* VPN +* Sämtliche gRPC-Services in Produktion + +## Neues Benutzerzertifikat anlegen + +Um ein neues Benutzerzertifikat anzulegen, muss zuerst eine Zertifikatsanfrage gestellt werden. Dazu erzeugen wir eine entsprechende Datei: + +`$ umask 077` +`$ openssl req -new -newkey rsa:4096 -keyout meinuser.key -out meinuser.csr -nodes -subj /OU=starship-factory/CN=meinuser` + +Hierbei sollte *meinuser* selbstverständlich durch den eigenen Benutzernamen ersetzt werden. + +Die csr-Datei sollte dann in das *users*-Verzeichnis verschoben werden und mittels `git add meinuser.csr && git commit && git push` hochgeladen. Wichtig: nicht die .key-Datei hochladen! Diese sollte sicher gespeichert und mit niemandem geteilt werden. + +Nun muss die Anfrage gegenüber [[Benutzer/caoimhe]] autorisiert werden. Das kann durch ein persönliches Treffen geschehen oder durch eine Signatur durch einen vormalig autorisierten PGP-Schlüssel. + +Nachdem [[Benutzer/caoimhe]] ihre Arbeit erledigt hat, sollte sich eine Datei namens `meinuser.crt` im Git-Verzeichnis befinden. Diese Datei kann nun zur Authentifizierung benutzt werden. + +## Benutzerzertifikat erneuern + +Leider haben wir noch keine automatisierten Prozesse zur Erneuerung der Zertifikate (sonst würden wir auch die Erstellung komplett automatisieren). Daher einfach [[Benutzer/caoimhe]] kontaktieren und das erneuerte Zertifikat aus dem *ca-certificates*-Git fischen. -- cgit v1.2.1