Geekly articles weekly

مساعدة لتطوير تطبيق PKI


تكامل Venafi الرئيسية

لدى Devs الكثير من العمل ، ولا تزال تتطلب معرفة جيدة بالتشفير والبنية التحتية للمفتاح العام (PKI). هذا خطأ

في الواقع ، يجب أن يكون لكل جهاز شهادة TLS صالحة. إنها ضرورية للخوادم والحاويات والأجهزة الظاهرية في شبكات شبكات الخدمة. لكن عدد المفاتيح والشهادات ينمو مثل كرة الثلج ، وأصبحت الإدارة سريعة الفوضى ومكلفة ومحفوفة بالمخاطر ، إذا كنت تفعل كل شيء بنفسك. في غياب ممارسات إنفاذ ومراقبة جيدة للسياسة ، قد تعاني الأعمال التجارية بسبب شهادات ضعيفة أو انتهاء صلاحية غير متوقع.

استضافت GlobalSign و Venafi بثين على شبكة الإنترنت لمساعدة المطورين. الأولى هي مقدمة تمهيدية ، والثانية تحتوي على نصائح تقنية أكثر تحديدًا لتوصيل نظام PKI من GlobalSign عبر سحابة Venafi باستخدام أدوات مفتوحة المصدر من خلال HashiCorp Vault من خط أنابيب Jenkins CI / CD.

سبب المشكلات الرئيسية لعمليات إدارة الشهادات الحالية هو وجود عدد كبير من الإجراءات:

  • إنشاء شهادات موقعة ذاتيا في OpenSSL.
  • العمل مع مثيلات HashiCorp Vault المتعددة لإدارة مرجع مصدق خاص أو شهادة موقعة ذاتيًا.
  • تسجيل طلبات الشهادات الموثوقة.
  • باستخدام شهادات من مقدمي السحابة العامة.
  • دعونا تشفير أتمتة تجديد الشهادة
  • كتابة البرامج النصية الخاصة بك
  • أدوات ضبط ذاتية لـ DevOps مثل Red Hat Ansible و Kubernetes و Pivotal Cloud Foundry

جميع الإجراءات تزيد من خطر الخطأ وتستغرق الكثير من الوقت. تحاول Venafi حل هذه المشكلات وتجعل الحياة أسهل بالنسبة للمتطرفين.



يتم تقسيم عروض GlobalSign و Venafi إلى قسمين. أولاً ، كيفية تكوين Venafi Cloud و GlobalSign PKI. بعد ذلك ، كيفية استخدامها لطلب الشهادات وفقًا للسياسات المعمول بها ، باستخدام الأدوات المألوفة.

المواضيع الرئيسية:

  • أتمتة إصدار الشهادات في إطار تقنيات DevOps CI / CD الحالية (على سبيل المثال ، Jenkins).
  • إمكانية الوصول الفوري إلى PKI وخدمات التصديق عبر حزمة التطبيقات بالكامل (إصدار الشهادات في ثانيتين)
  • توحيد البنية التحتية للمفاتيح العامة مع حلول تسليم المفتاح للتكامل مع تزامن الحاوية ، والإدارة السرية ومنصات التشغيل الآلي (على سبيل المثال ، Kubernetes ، OpenShift ، Terraform ، HashiCorp Vault ، Ansible ، SaltStack وغيرها). يظهر المخطط العام لإصدار الشهادات في الرسم التوضيحي أدناه.


    نظام إصدار الشهادات من خلال HashiCorp Vault و Venafi Cloud و GlobalSign. في الرسم البياني ، تعني CSR "طلب توقيع الشهادة"
  • إنتاجية عالية وبنية تحتية قوية للمفتاح PKI لبيئات ديناميكية وقابلة للتوسعة بدرجة كبيرة
  • استخدام مجموعات الأمان من خلال السياسات وإمكانية رؤية الشهادات الصادرة

يتيح لك هذا النهج تنظيم نظام موثوق به دون أن يكون خبيراً في التشفير و PKI.


أسرار محرك فينافي

تؤكد Venafi أنه في النهاية هو حل أكثر اقتصادا ، لأنه لا يتطلب مشاركة متخصصين في PKI بأجر مرتفع وتكاليف الدعم.

تم دمج الحل بالكامل في خط أنابيب CI / CD الحالي ويغطي جميع احتياجات الشركة للشهادات. وبالتالي ، يمكن للمطورين و devs العمل بشكل أسرع وعدم التعامل مع مشكلات التشفير الصعبة.

Source: https://habr.com/ru/post/ar476186/

More articles:


All Articles