Správa certifikátů

PKI operace — Žádosti, revokace, import, export a správa CRL

Verze dokumentu: 1.0.0
Poslední aktualizace: 2026-02-10

---

1. Životní cyklus certifikátu

graph LR
    A["📝 Žádost<br/>(CSR)"] --> B["⏳ Schválení"]
    B --> C["✅ Vydání"]
    C --> D["🔒 Aktivní"]
    D --> E["🔄 Obnova"]
    E --> C
    D --> F["❌ Revokace"]
    F --> G["📜 Aktualizace CRL"]
    D --> H["⏰ Expirace"]

    classDef request fill:#EBF5FB,stroke:#2196F3,stroke-width:2px,color:#1565C0
    classDef active fill:#E8F5E9,stroke:#4CAF50,stroke-width:2px,color:#2E7D32
    classDef warning fill:#FFF8E1,stroke:#FF9800,stroke-width:2px,color:#E65100
    classDef danger fill:#FFEBEE,stroke:#F44336,stroke-width:2px,color:#C62828

    class A,B request
    class C,D active
    class E,H warning
    class F,G danger

2. Žádost o certifikát

Přes webové rozhraní

1. Přejděte na Certifikáty → Požádat o certifikát
2. Zvolte Šablonu certifikátu nebo nakonfigurujte ručně:

Šablona	Key Usage	Extended Key Usage	Typická platnost
Webový server	Digital Signature, Key Encipherment	Server Authentication	1 rok
Klientská autentizace	Digital Signature	Client Authentication	1 rok
Podpis kódu	Digital Signature	Code Signing	2 roky
E-mail (S/MIME)	Digital Signature, Key Encipherment	Email Protection	1 rok

1. Vyplňte informace o subjektu:
2. Common Name (CN): Primární doména nebo identifikátor
3. Subject Alternative Names: Další domény a IP adresy
4. Organizace, Země atd.: Dle požadavků vaší politiky
5. Vyberte Vydávající CA
6. Klikněte na Odeslat žádost

Přes API

curl -X POST https://vault.example.com/api/v1/certificates/csr \
  -H "Authorization: Bearer <token>" \
  -H "Content-Type: application/json" \
  -d '{
    "common_name": "api.example.com",
    "san_dns": ["api.example.com", "api-internal.example.com"],
    "key_type": "RSA",
    "key_size": 2048,
    "ca_id": "ca_root001",
    "project_id": "proj_abc123",
    "template": "web_server"
  }'

3. Schvalování certifikátů

V závislosti na politice vaší organizace:

Politika	Chování
Automatické schválení	Certifikát je vydán okamžitě po žádosti
Schválení administrátorem	Certifikát přejde do stavu pending_approval; administrátor musí žádost schválit
Schválení správcem projektu	Správce projektu může schválit certifikáty pro svůj projekt

Schválení žádosti

1. Přejděte na Certifikáty → Čekající žádosti
2. Přezkoumejte podrobnosti certifikátu
3. Klikněte na Schválit nebo Zamítnout

4. Revokace certifikátu

Kdy revokovat

• Privátní klíč byl kompromitován
• Změnila se příslušnost držitele certifikátu
• Certifikát byl nahrazen novým
• Služba používající certifikát byla vyřazena z provozu

Postup revokace

1. Přejděte na Certifikáty → Aktivní a najděte certifikát
2. Klikněte na Revokovat
3. Vyberte Důvod revokace (RFC 5280):
4. keyCompromise — Privátní klíč je kompromitován
5. affiliationChanged — Změnila se příslušnost subjektu
6. superseded — Nahrazen novým certifikátem
7. cessationOfOperation — Služba vyřazena z provozu
8. certificateHold — Dočasné pozastavení (lze uvolnit)
9. Přidejte volitelný komentář
10. Klikněte na Potvrdit revokaci

CRL je po revokaci automaticky přegenerován.

Zrušení revokace certifikátu

Certifikáty revokované s důvodem certificateHold lze uvolnit:

1. Přejděte na Certifikáty → Revokované a najděte certifikát
2. Klikněte na Zrušit revokaci
3. Potvrďte akci

5. Import certifikátů

Import jednotlivého certifikátu

1. Přejděte na Certifikáty → Import
2. Nahrajte nebo vložte:
3. Certifikát (formát PEM, povinný)
4. Privátní klíč (formát PEM, volitelný)
5. Řetězec CA (formát PEM, volitelný)
6. Vyberte cílový projekt
7. Klikněte na Importovat

Hromadný import (PEM balíček)

1. Přejděte na Certifikáty → Import → Hromadný import
2. Nahrajte PEM balíček obsahující více certifikátů
3. Vyberte cílový projekt
4. Klikněte na Importovat

Systém analyzuje balíček, identifikuje jednotlivé certifikáty a importuje je s automatickou detekcí řetězce.

6. Export certifikátů

Formáty exportu

Formát	Přípona	Zahrnuje klíč	Případ použití
PEM	.pem, .crt	Volitelně	Linux/Unix servery, Apache, Nginx
DER	.der, .cer	Ne	Java aplikace, Windows
PKCS#12	.p12, .pfx	Ano (chráněno heslem)	Windows, import do Java KeyStore

Postup exportu

1. Přejděte na stránku detailu certifikátu
2. Klikněte na Export
3. Vyberte formát a možnosti:
4. Zahrnout řetězec CA
5. Zahrnout privátní klíč (vyžaduje oprávnění certificates.export_key)
6. Nastavit heslo (pro PKCS#12)
7. Stáhněte soubor

Export privátního klíče

Export certifikátu s privátním klíčem je bezpečnostně citlivá operace zaznamenaná v auditním protokolu. Zajistěte bezpečný přenos privátního klíče.

7. Automatizace certifikátů pomocí ACME

MazeVault obsahuje vestavěný ACME server (RFC 8555), který umožňuje automatické vydávání certifikátů přímo z Kubernetes pomocí cert-manager.

Rychlý přehled

1. Vygenerujte EAB přihlašovací údaje v MazeVault (Nastavení organizace → Přístup ACME)
2. Vytvořte Kubernetes Secret s HMAC klíčem
3. Nasaďte ClusterIssuer směřující na ACME adresář vašeho MazeVault
4. Anotujte Ingress nebo vytvořte Certificate resources — cert-manager se postará o zbytek

apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: mazevault-issuer
spec:
  acme:
    server: https://vault.example.com/api/acme/directory
    externalAccountBinding:
      keyID: "VAŠE_EAB_KEY_ID"
      keySecretRef:
        name: mazevault-eab-secret
        key: secret
    privateKeySecretRef:
      name: mazevault-acme-account-key
    solvers:
      - http01:
          ingress:
            ingressClassName: nginx

Interní domény (.local, .internal, .lan, .corp) jsou automaticky schváleny bez HTTP-01 výzvy.

Kompletní ACME návod

Podrobné pokyny krok za krokem, YAML příklady, ACME profily a řešení problémů najdete v dedikovaném Návodu pro automatizaci certifikátů pomocí ACME.

---

8. Správa CRL

Seznam revokovaných certifikátů (CRL)

MazeVault automaticky generuje CRL při revokaci certifikátů. CRL jsou dostupné na:

Formát	URL
DER	https://vault.example.com/api/v1/crl
PEM	https://vault.example.com/api/v1/crl/pem

Distribuční bod CRL

Nakonfigurujte CRL Distribution Point ve svých certifikátech tak, aby odkazoval na vaši MazeVault CRL URL. Tato informace je automaticky zahrnuta v certifikátech vydaných MazeVault CA.

Vynucená regenerace CRL

V případě potřeby ručně přegenerujte CRL:

1. Přejděte na Certifikáty → CRL
2. Klikněte na Přegenerovat CRL
3. Vyberte typ: Úplný nebo Delta

8. OCSP validace

OCSP poskytuje ověřování stavu certifikátu v reálném čase jako alternativu k CRL:

Vlastnost	CRL	OCSP
V reálném čase	❌ (periodické generování)	✅
Šířka pásma	Vyšší (celý seznam)	Nižší (per certifikát)
Soukromí	Klient stahuje vše	Klient dotazuje konkrétní certifikát
Offline podpora	✅ (uložený CRL)	❌ (vyžaduje připojení)

OCSP URL

https://vault.example.com/ocsp

Testování OCSP

openssl ocsp \
  -issuer ca.pem \
  -cert server.pem \
  -url https://vault.example.com/ocsp \
  -noverify

Související

• API pro certifikáty — API reference
• Správa tajemství — Správa tajemství
• Konfigurace TLS — Nastavení TLS