Správa životního cyklu certifikátů¶

Přehled¶

MazeVault poskytuje kompletní správu životního cyklu certifikátů zahrnující vydávání, nasazení, rotaci, monitoring a revokaci. Tento průvodce vysvětluje, jak MazeVault spravuje certifikáty v multi-datacenter, hybridním cloudovém a on-premise prostředí.

Fáze životního cyklu certifikátu¶

graph TD
    A["1: ŽÁDOST & VYDÁNÍ<br/>Generování klíčů"] --> B["2: NASAZENÍ<br/>Instalace na server"]
    B --> C["3: MONITORING<br/>Kontrola dostupnosti"]
    C --> D{"BLÍŽÍ SE<br/>EXPIRACE?"}
    D -->|"STAV OK"| C
    D --> E["4a: OBNOVA<br/>Automatická rotace"]
    E --> B
    C --> F{"BEZPEČNOSTNÍ<br/>INCIDENT?"}
    F --> G["4b: REVOKACE<br/>Zneplatnění (CRL)"]
    G --> H["RE-ISSUE<br/>Nové klíče"]
    H --> B

    classDef request fill:#EBF5FB,stroke:#2196F3,stroke-width:2px,color:#1565C0
    classDef active fill:#E8F5E9,stroke:#4CAF50,stroke-width:2px,color:#2E7D32
    classDef warning fill:#FFF8E1,stroke:#FF9800,stroke-width:2px,color:#E65100
    classDef danger fill:#FFEBEE,stroke:#F44336,stroke-width:2px,color:#C62828

    class A,H request
    class B,C active
    class D,E warning
    class F,G danger

1. Vydávání certifikátů¶

Certifikáty jsou vydávány prostřednictvím šablon certifikátů, které definují:

Algoritmus klíče: RSA (2048, 4096), ECDSA (P-256, P-384), Ed25519
Doba platnosti: Konfigurovatelné dny s min/max omezeními
Šablona subjektu: CN, O, OU, L, ST, C s vynucením vzorů
Konfigurace SAN: DNS jména, IP adresy, email, URI
Použití klíče: Digitální podpis, šifrování klíče atd.
Rozšířené použití klíče: Autentizace serveru, klienta, podepisování kódu atd.

Šablony se spravují v Nastavení projektu → Certifikační autority a jsou vázány na projekty.

2. Nasazení certifikátů¶

Po vydání nebo obnově jsou certifikáty nasazeny na cíle přes záložku Rotace a nasazení:

Typ cíle	Popis	Použití
Secret Manager	Azure Key Vault, AWS Secrets Manager, HashiCorp Vault	Cloud-nativní aplikace
Kubernetes Secret	TLS nebo Opaque secrets v K8s clusterech	Kontejnerizované workloady
Agent Keystore	JKS, PKCS12, Windows Certificate Store	Java aplikace, WebLogic, IIS
Agent File	PEM soubory na filesystému	Nginx, Apache, vlastní aplikace
Database Wallet	Oracle OCI wallet	Oracle Database TCPS připojení

3. Monitoring certifikátů¶

MazeVault průběžně monitoruje expiraci certifikátů:

Dashboard: Přehled expirace certifikátů s varováními 30/60/90 dní
Notifikace: Email, Slack, Teams, Jira upozornění na expirující certifikáty
Compliance reporty: SOC 2, PCI DSS, GDPR, ISO 27001 stav shody

4. Rotace certifikátů¶

Automatická rotace se konfiguruje per certifikát:

Dny předstihu obnovy: Kolik dní před expirací spustit obnovu
Plán: Cron výraz pro frekvenci kontroly rotace
Politika opakování: Max pokusů a prodleva mezi pokusy
Akce po nasazení: Restart služeb, webhook volání, Spring Actuator refresh

5. Revokace certifikátů¶

Při kompromitaci certifikátu:

Revokujte přes detail certifikátu
CRL je automaticky přegenerován
OCSP responder je aktualizován
Propojené systémy jsou notifikovány

Mapování na compliance¶

Požadavek	Framework	Funkce MazeVault
Generování klíčů	PCI DSS 3.6.1	Šablony certifikátů s omezeními algoritmů
Distribuce klíčů	PCI DSS 3.6.3	Nasazení přes agenty s mTLS
Rotace klíčů	PCI DSS 3.6.4, SOC 2 CC6.8	Automatická rotace s konfigurovatelným plánem
Zničení klíčů	SOC 2 CC6.5	Archivace s trvalým smazáním
Kompromitace klíčů	PCI DSS 3.6.8, SOC 2 CC7.4	Revokace + CRL/OCSP
Auditní stopa	SOC 2 CC7.3, GDPR čl. 30	Kompletní auditní logování
Monitoring	SOC 2 CC7.1	Monitoring expirace s upozorněními

Generování compliance reportů¶

Přejděte na Systémové výstupy → Compliance reporty pro generování strukturovaných compliance reportů:

Vyberte compliance framework (PCI DSS, SOC 2, GDPR, ISO 27001)
Klikněte na Generovat report
Zkontrolujte stav shody per kontrola, důkazy a doporučení
Exportujte jako PDF pro auditory

Doporučení

Generujte compliance reporty měsíčně a před každým auditem. Report zahrnuje inventář certifikátů, úspěšnost rotací a shodu s politikou hesel.