Der Zugriff auf viele Ressourcen für die Administration von Starship Factory-Diensten erfordert ein gültiges Benutzerzertifikat. Diese werden üblicherweise durch caoimhe für maximal 90 Tage ausgestellt.

Zertifikate befinden sich im git-Repository git+ssh://git@starship-factory.ch:2222/ca-certificates.git im Verzeichnis users.

Welche Dienste benutzen Clientzertifikate?

  • Kubernetes
  • VPN
  • Sämtliche gRPC-Services in Produktion

Neues Benutzerzertifikat anlegen

Um ein neues Benutzerzertifikat anzulegen, muss zuerst eine Zertifikatsanfrage gestellt werden. Dazu erzeugen wir eine entsprechende Datei:

$ umask 077 $ openssl req -new -newkey rsa:4096 -keyout meinuser.key -out meinuser.csr -nodes -subj /OU=starship-factory/CN=meinuser

Hierbei sollte meinuser selbstverständlich durch den eigenen Benutzernamen ersetzt werden.

Die csr-Datei sollte dann in das users-Verzeichnis verschoben werden und mittels git add meinuser.csr && git commit && git push hochgeladen. Wichtig: nicht die .key-Datei hochladen! Diese sollte sicher gespeichert und mit niemandem geteilt werden.

Nun muss die Anfrage gegenüber caoimhe autorisiert werden. Das kann durch ein persönliches Treffen geschehen oder durch eine Signatur durch einen vormalig autorisierten PGP-Schlüssel.

Nachdem caoimhe ihre Arbeit erledigt hat, sollte sich eine Datei namens meinuser.crt im Git-Verzeichnis befinden. Diese Datei kann nun zur Authentifizierung benutzt werden.

Benutzerzertifikat erneuern

Leider haben wir noch keine automatisierten Prozesse zur Erneuerung der Zertifikate (sonst würden wir auch die Erstellung komplett automatisieren). Daher einfach caoimhe kontaktieren und das erneuerte Zertifikat aus dem ca-certificates-Git fischen.