Venafi的关键集成开发人员的工作量很大,他们仍然需要密码学和公共密钥基础结构(PKI)的专业知识。 错了
实际上,每台计算机必须具有有效的TLS证书。 服务网格网络中的服务器,容器,虚拟机需要它们。 但是,密钥和证书的数量正像滚雪球一样增长,如果您自己做所有的事情,管理就会迅速变得混乱,昂贵和冒险。 在缺乏良好的政策执行和监控实践的情况下,企业可能会由于证书薄弱或意外到期而遭受损失。
GlobalSign和Venafi主持了两个网络广播,以帮助开发人员。
第一个是介绍性的 ,第二个是
更具体的技术技巧 ,
这些技巧用于通过Jenkins CI / CD管道中的HashiCorp Vault使用开放源代码工具通过Global工具通过Venafi云从GlobalSign连接PKI系统。
现有证书管理过程的主要问题是由大量过程引起的:
- 在OpenSSL中生成自签名证书。
- 与多个HashiCorp Vault实例一起使用以管理私有证书颁发机构或自签名证书。
- 注册受信任证书的应用程序。
- 使用来自公共云提供商的证书。
- 让我们加密证书续订自动化
- 编写自己的脚本
- 适用于DevOps的自调整工具,例如Red Hat Ansible,Kubernetes,Pivotal Cloud Foundry
所有过程都会增加出错的风险,并且会花费大量时间。 Venafi试图解决这些问题,并使开发人员的生活更轻松。
GlobalSign和Venafi演示分为两个部分。 首先,如何配置Venafi Cloud和GlobalSign PKI。 然后,如何使用熟悉的工具使用它根据已建立的策略来请求证书。
关键主题:
- 在现有DevOps CI / CD技术(例如,Jenkins)的框架内自动化证书的颁发。
- 即时访问整个应用程序堆栈中的PKI和认证服务(两秒钟内颁发证书)
- 使用可与容器编排,秘密管理和自动化平台(例如Kubernetes,OpenShift,Terraform,HashiCorp Vault,Ansible,SaltStack等)集成的交钥匙解决方案对公钥基础结构进行标准化。 下图显示了颁发证书的一般方案。
通过HashiCorp Vault,Venafi Cloud和GlobalSign的证书颁发计划。 在图中,CSR表示“证书签名请求”
- 高吞吐量和强大的PKI基础架构,用于动态,高度可扩展的环境
- 通过策略和已颁发证书的可见性使用安全组
这种方法使您可以组织可靠的系统,而无需成为加密和PKI方面的专家。
Venafi秘密引擎Venafi甚至保证最终是一种更经济的解决方案,因为它不需要高薪PKI专家的参与和支持费用。
该解决方案已完全集成到现有的CI / CD管道中,并满足了公司对证书的所有需求。 因此,开发人员和开发人员可以更快地工作,而不必处理棘手的密码问题。
