blob: 6e408df762d6619646f58aff881c1e2179039d2c (
plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
|
[[!meta title="Verwaltung von Benutzerzertifikaten"]]
Der Zugriff auf viele Ressourcen für die Administration von Starship Factory-Diensten erfordert ein gültiges Benutzerzertifikat. Diese werden üblicherweise durch [[Benutzer/caoimhe]] für maximal 90 Tage ausgestellt.
Zertifikate befinden sich im git-Repository `git+ssh://git@starship-factory.ch:2222/ca-certificates.git` im Verzeichnis *users*.
## Welche Dienste benutzen Clientzertifikate?
* [[Kubernetes|kubernetes-and-ceph]]
* VPN
* Sämtliche gRPC-Services in Produktion
## Neues Benutzerzertifikat anlegen
Um ein neues Benutzerzertifikat anzulegen, muss zuerst eine Zertifikatsanfrage gestellt werden. Dazu erzeugen wir eine entsprechende Datei:
`$ umask 077`
`$ openssl req -new -newkey rsa:4096 -keyout meinuser.key -out meinuser.csr -nodes -subj /OU=starship-factory/CN=meinuser`
Hierbei sollte *meinuser* selbstverständlich durch den eigenen Benutzernamen ersetzt werden.
Die csr-Datei sollte dann in das *users*-Verzeichnis verschoben werden und mittels `git add meinuser.csr && git commit && git push` hochgeladen. Wichtig: nicht die .key-Datei hochladen! Diese sollte sicher gespeichert und mit niemandem geteilt werden.
Nun muss die Anfrage gegenüber [[Benutzer/caoimhe]] autorisiert werden. Das kann durch ein persönliches Treffen geschehen oder durch eine Signatur durch einen vormalig autorisierten PGP-Schlüssel.
Nachdem [[Benutzer/caoimhe]] ihre Arbeit erledigt hat, sollte sich eine Datei namens `meinuser.crt` im Git-Verzeichnis befinden. Diese Datei kann nun zur Authentifizierung benutzt werden.
## Benutzerzertifikat erneuern
Leider haben wir noch keine automatisierten Prozesse zur Erneuerung der Zertifikate (sonst würden wir auch die Erstellung komplett automatisieren). Daher einfach [[Benutzer/caoimhe]] kontaktieren und das erneuerte Zertifikat aus dem *ca-certificates*-Git fischen.
|
