summaryrefslogtreecommitdiff
path: root/Infrastruktur/Hosting/Benutzerzertifikat.mdwn
blob: 6e408df762d6619646f58aff881c1e2179039d2c (plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
[[!meta title="Verwaltung von Benutzerzertifikaten"]]

Der Zugriff auf viele Ressourcen für die Administration von Starship Factory-Diensten erfordert ein gültiges Benutzerzertifikat. Diese werden üblicherweise durch [[Benutzer/caoimhe]] für maximal 90 Tage ausgestellt.

Zertifikate befinden sich im git-Repository `git+ssh://git@starship-factory.ch:2222/ca-certificates.git` im Verzeichnis *users*.

## Welche Dienste benutzen Clientzertifikate?

* [[Kubernetes|kubernetes-and-ceph]]
* VPN
* Sämtliche gRPC-Services in Produktion

## Neues Benutzerzertifikat anlegen

Um ein neues Benutzerzertifikat anzulegen, muss zuerst eine Zertifikatsanfrage gestellt werden. Dazu erzeugen wir eine entsprechende Datei:

`$ umask 077`
`$ openssl req -new -newkey rsa:4096 -keyout meinuser.key -out meinuser.csr -nodes -subj /OU=starship-factory/CN=meinuser`

Hierbei sollte *meinuser* selbstverständlich durch den eigenen Benutzernamen ersetzt werden.

Die csr-Datei sollte dann in das *users*-Verzeichnis verschoben werden und mittels `git add meinuser.csr && git commit && git push` hochgeladen. Wichtig: nicht die .key-Datei hochladen! Diese sollte sicher gespeichert und mit niemandem geteilt werden.

Nun muss die Anfrage gegenüber [[Benutzer/caoimhe]] autorisiert werden. Das kann durch ein persönliches Treffen geschehen oder durch eine Signatur durch einen vormalig autorisierten PGP-Schlüssel.

Nachdem [[Benutzer/caoimhe]] ihre Arbeit erledigt hat, sollte sich eine Datei namens `meinuser.crt` im Git-Verzeichnis befinden. Diese Datei kann nun zur Authentifizierung benutzt werden.

## Benutzerzertifikat erneuern

Leider haben wir noch keine automatisierten Prozesse zur Erneuerung der Zertifikate (sonst würden wir auch die Erstellung komplett automatisieren). Daher einfach [[Benutzer/caoimhe]] kontaktieren und das erneuerte Zertifikat aus dem *ca-certificates*-Git fischen.