我不知道有任何框架/工具来实现我们所要做的事情,但在这里发表文章是为了听取专家的意见和关于大型组织如何做到这一点的意见和推荐的自动化方法。
我们已经具备了自动识别、更新和跟踪SSL/TLS证书过期的功能,但除非应用程序团队或开发团队知道,否则我们无法查看或跟踪安装证书的所有位置或程序。
例如,我们为foo.internal.net创建一个SSL证书,并将相同的文件复制到Apache、Java和许多其他地方。想知道是否有任何产品或库可以跟踪给定cert的部署,而不管位置、程序和操作系统如何,是否采用半自动化或完全自动化的方法。
我非常清楚,我们可以启动一个进程,继续添加到那个CMDB或DB中,并且可以永远构建,以捕获所有这些数据。
是否有任何方法可以解决这些要求中的一部分或全部?
谢谢
发布于 2021-03-10 08:39:10
对于第一个问题,你必须有一个管理。对于后者,您必须有一个自动化,这取决于管理。
管理取决于你的工作方式。你主要经营集装箱吗?您的工作负载是静态的还是动态的?
自动化取决于您是否要实现“推送”模型,即。当目标从受信任的源更新自己时,会将更改推送到目标,或者是一种“拉”模式。
有一些产品涵盖了所有这些。例如,HashiCorp Vault能够通过HTTP生成短时间的TLS密钥/证书。可以通过计划作业( UNIX世界中的cron作业)从受信任的管理节点或从使用这些密钥/证书的计算机启动更新过程。或者可以让consul
代理在所有托管节点上运行,这些节点将查找consul
's K/D数据库中的更改,当值(base64编码的键/证书)发生更改时,consul
代理会做出反应-保存更新键/证书,重新启动TLS服务。
https://security.stackexchange.com/questions/245900
复制相似问题