Přeskočit obsah

Správa certifikátů

PKI operace — Žádosti, revokace, import, export a správa CRL

Verze dokumentu: 1.2.0
Poslední aktualizace: 2026-06-14

1. Životní cyklus certifikátu

graph LR
    A["📝 Žádost<br/>(CSR)"] --> B["⏳ Schválení"]
    B --> C["✅ Vydání"]
    C --> D["🔒 Aktivní"]
    D --> E["🔄 Obnova"]
    E --> C
    D --> F["❌ Revokace"]
    F --> G["📜 Aktualizace CRL"]
    D --> H["⏰ Expirace"]

    classDef request fill:#EBF5FB,stroke:#2196F3,stroke-width:2px,color:#1565C0
    classDef active fill:#E8F5E9,stroke:#4CAF50,stroke-width:2px,color:#2E7D32
    classDef warning fill:#FFF8E1,stroke:#FF9800,stroke-width:2px,color:#E65100
    classDef danger fill:#FFEBEE,stroke:#F44336,stroke-width:2px,color:#C62828

    class A,B request
    class C,D active
    class E,H warning
    class F,G danger

2. Žádost o certifikát

Přes webové rozhraní

  1. Přejděte na Certifikáty → Požádat o certifikát
  2. Zvolte Šablonu certifikátu nebo nakonfigurujte ručně:
Šablona Key Usage Extended Key Usage Typická platnost
Webový server Digital Signature, Key Encipherment Server Authentication 1 rok
Klientská autentizace Digital Signature Client Authentication 1 rok
Podpis kódu Digital Signature Code Signing 2 roky
E-mail (S/MIME) Digital Signature, Key Encipherment Email Protection 1 rok
  1. Vyplňte informace o subjektu:
  2. Common Name (CN): Primární doména nebo identifikátor
  3. Subject Alternative Names: Další domény a IP adresy
  4. Organizace, Země atd.: Dle požadavků vaší politiky
  5. Vyberte Vydávající CA
  6. Klikněte na Odeslat žádost

Přes API

curl -X POST https://vault.example.com/api/v1/certificates/csr \
  -H "Authorization: Bearer <token>" \
  -H "Content-Type: application/json" \
  -d '{
    "common_name": "api.example.com",
    "san_dns": ["api.example.com", "api-internal.example.com"],
    "key_type": "RSA",
    "key_size": 2048,
    "ca_id": "ca_root001",
    "project_id": "proj_abc123",
    "template": "web_server"
  }'

3. Schvalování certifikátů

V závislosti na politice vaší organizace:

Politika Chování
Automatické schválení Certifikát je vydán okamžitě po žádosti
Schválení administrátorem Certifikát přejde do stavu pending_approval; administrátor musí žádost schválit
Schválení správcem projektu Správce projektu může schválit certifikáty pro svůj projekt

Schválení žádosti

  1. Přejděte na Certifikáty → Čekající žádosti
  2. Přezkoumejte podrobnosti certifikátu
  3. Klikněte na Schválit nebo Zamítnout

4. Revokace certifikátu

Kdy revokovat

  • Privátní klíč byl kompromitován
  • Změnila se příslušnost držitele certifikátu
  • Certifikát byl nahrazen novým
  • Služba používající certifikát byla vyřazena z provozu

Postup revokace

  1. Přejděte na Certifikáty → Aktivní a najděte certifikát
  2. Klikněte na Revokovat
  3. Vyberte Důvod revokace (RFC 5280):
  4. keyCompromise — Privátní klíč je kompromitován
  5. affiliationChanged — Změnila se příslušnost subjektu
  6. superseded — Nahrazen novým certifikátem
  7. cessationOfOperation — Služba vyřazena z provozu
  8. certificateHold — Dočasné pozastavení (lze uvolnit)
  9. Přidejte volitelný komentář
  10. Klikněte na Potvrdit revokaci

CRL je po revokaci automaticky přegenerován.

Zrušení revokace certifikátu

Certifikáty revokované s důvodem certificateHold lze uvolnit:

  1. Přejděte na Certifikáty → Revokované a najděte certifikát
  2. Klikněte na Zrušit revokaci
  3. Potvrďte akci

5. Import certifikátů

Import jednotlivého certifikátu

  1. Přejděte na Certifikáty → Import
  2. Nahrajte nebo vložte:
  3. Certifikát (formát PEM, povinný)
  4. Privátní klíč (formát PEM, volitelný)
  5. Řetězec CA (formát PEM, volitelný)
  6. Vyberte cílový projekt
  7. Klikněte na Importovat

Hromadný import (PEM balíček)

  1. Přejděte na Certifikáty → Import → Hromadný import
  2. Nahrajte PEM balíček obsahující více certifikátů
  3. Vyberte cílový projekt
  4. Klikněte na Importovat

Systém analyzuje balíček, identifikuje jednotlivé certifikáty a importuje je s automatickou detekcí řetězce.

Příprava obnovy po importu

  • Pokud je importovaný certifikát navázaný na spravovaný CA účet a splňuje předpoklady pro rotaci, MazeVault může automaticky připravit metadata obnovy.
  • Automaticky připravené rotační konfigurace zůstávají vypnuté, dokud je operátor výslovně nepovolí. Tím se zabrání tiché rotaci soukromého klíče ihned po importu.
  • Počáteční lead time obnovy se určuje z efektivní hierarchie politik certifikátu, šablony a CA účtu, takže importovaný certifikát převezme zamýšlené okno obnovy místo skrytého defaultu.

Per-certifikátová politika obnovy klíče

Pro obnovitelné certifikáty lze přepsat zacházení s klíčem na úrovni jednotlivého certifikátu:

  • Regenerate při obnově vygeneruje nový privátní klíč.
  • Reuse zachová stávající klíčový materiál, pokud to provider, custody režim a downstream deployment cesta podporují.
  • Ponechání hodnoty prázdné předá rozhodnutí šabloně nebo vyšší politice.

Volbu Reuse používejte jen tam, kde downstream systémy vyžadují kontinuitu klíče nebo je opětovné vystavení příliš nákladné.

Kontrola readiness před zapnutím automatizace

  • Před zapnutím automatizace certifikátu zkontrolujte pohled Project Rotations.
  • Zdroje obnovy i deploymentu nyní zobrazují inline readiness a preflight stav.
  • Manual Review Required znamená, že MazeVault neumí cíl automaticky ověřit a operátor by měl před produkčním rolloutem potvrdit deployment cestu ručně.

6. Export certifikátů

Formáty exportu

Formát Přípona Zahrnuje klíč Případ použití
PEM .pem, .crt Volitelně Linux/Unix servery, Apache, Nginx
DER .der, .cer Ne Java aplikace, Windows
PKCS#12 .p12, .pfx Ano (chráněno heslem) Windows, import do Java KeyStore

Postup exportu

  1. Přejděte na stránku detailu certifikátu
  2. Klikněte na Export
  3. Vyberte formát a možnosti:
  4. Zahrnout řetězec CA
  5. Zahrnout privátní klíč (vyžaduje oprávnění certificates.export_key)
  6. Nastavit heslo (pro PKCS#12)
  7. Stáhněte soubor

Export privátního klíče

Export certifikátu s privátním klíčem je bezpečnostně citlivá operace zaznamenaná v auditním protokolu. Zajistěte bezpečný přenos privátního klíče.

7. Automatizace certifikátů pomocí ACME

MazeVault obsahuje vestavěný ACME server (RFC 8555), který umožňuje automatické vydávání certifikátů přímo z Kubernetes pomocí cert-manager.

Rychlý přehled

  1. Vygenerujte EAB přihlašovací údaje v MazeVault (Nastavení organizace → Přístup ACME)
  2. Vytvořte Kubernetes Secret s HMAC klíčem
  3. Nasaďte ClusterIssuer směřující na ACME adresář vašeho MazeVault
  4. Anotujte Ingress nebo vytvořte Certificate resources — cert-manager se postará o zbytek
apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: mazevault-issuer
spec:
  acme:
    server: https://vault.example.com/api/acme/directory
    externalAccountBinding:
      keyID: "VAŠE_EAB_KEY_ID"
      keySecretRef:
        name: mazevault-eab-secret
        key: secret
    privateKeySecretRef:
      name: mazevault-acme-account-key
    solvers:
      - http01:
          ingress:
            ingressClassName: nginx

Interní domény (.local, .internal, .lan, .corp) jsou automaticky schváleny bez HTTP-01 výzvy.

Kompletní ACME návod

Podrobné pokyny krok za krokem, YAML příklady, ACME profily a řešení problémů najdete v dedikovaném Návodu pro automatizaci certifikátů pomocí ACME.

8. Správa CRL

Seznam revokovaných certifikátů (CRL)

MazeVault automaticky generuje CRL při revokaci certifikátů. CRL jsou dostupné na:

Formát URL
DER https://vault.example.com/api/v1/crl
PEM https://vault.example.com/api/v1/crl/pem

Distribuční bod CRL

Nakonfigurujte CRL Distribution Point ve svých certifikátech tak, aby odkazoval na vaši MazeVault CRL URL. Tato informace je automaticky zahrnuta v certifikátech vydaných MazeVault CA.

Vynucená regenerace CRL

V případě potřeby ručně přegenerujte CRL:

  1. Přejděte na Certifikáty → CRL
  2. Klikněte na Přegenerovat CRL
  3. Vyberte typ: Úplný nebo Delta

8. OCSP validace

OCSP poskytuje ověřování stavu certifikátu v reálném čase jako alternativu k CRL:

Vlastnost CRL OCSP
V reálném čase ❌ (periodické generování)
Šířka pásma Vyšší (celý seznam) Nižší (per certifikát)
Soukromí Klient stahuje vše Klient dotazuje konkrétní certifikát
Offline podpora ✅ (uložený CRL) ❌ (vyžaduje připojení)

OCSP URL

https://vault.example.com/ocsp

Testování OCSP

openssl ocsp \
  -issuer ca.pem \
  -cert server.pem \
  -url https://vault.example.com/ocsp \
  -noverify

Související