TLS сертификаттары және автоматты түрде ұзарту

Бұл не үшін қажет

TLS «клиент сервис» трафигін шифрлайды, сервердің түпнұсқалығын растайды (және mTLS кезінде - клиент), сондай-ақ ауыстырудан қорғайды. Басты тәуекелдер: сертификаттардың мерзімі өтіп кетуі, әлсіз кілттер, дұрыс емес сенім тізбегі, қолмен жасалатын процедуралар. Мақаланың мақсаты - сертификаттар әрқашан өзектi болатын және пайдаланушылар байқамай ротациялайтын архитектураны сипаттау.

Негізгі ұғымдар

CA/Қол қоюшы: сертификаттау орталығы (ашық немесе ішкі).
Chain (fullchain): парақ сертификаты + аралық + тамыр (әдетте клиент қоймаларында тамыр).
SAN (Subject Alternative Name): бір куәлікке арналған домендер/IP тізімі (multi-SAN).
Wildcard: `.example. com '- көптеген поддомендер үшін қолайлы, DNS валидациясын талап етеді.
OCSP stapling: сервер жаңа пікір күйін қолданады; кідірістер мен сыртқы OCSP тәуелділігін азайтады.
HPKP: ескірген/пайдаланылмаған; оның орнына - CT-логтар және негізгі гигиена.
CT (Certificate Transparency): жария беру журналдары - жалған шығарылымдарды бақылау үшін маңызды.

Криптопрофиль және кілттер

• ECDSA (P-256) - жылдам және ықшам; қазіргі заманғы клиенттер үшін қолайлы.
• RSA-2048/3072 - бұрынғысынша үйлесімді; dual-cert (RSA + ECDSA) ұстауға болады.
• Кілттер генерациясы: тек мақсатты жағында (жекешелендіргіштерді желі арқылы бермеу), кіру құқығын қорғау ('0600').
• HSM/KMS: критикалық аймақтар үшін (төлем/PII) кілттерді HSM/KMS-де сақтаңыз, операциялардың аудитін қосыңыз.
• Өмір сүру мерзімі: қысқа сертификаттар (ішкі үшін 90 күн/30 күн) жиі ротациялауды көтермелейді және компромисс қаупін төмендетеді.

TLS архитектуралық басқару модельдері

1. ACME арқылы жария CA (Let's Encrypt/Buypass/т.б.)

Валидация: HTTP-01 (веб-сервер/Ingress арқылы) немесе DNS-01 (wildcard/ағынсыз домендер үшін).
Артықшылықтары: тегін/автоматтандырылған, кең сенім. Кемшіліктері: сыртқы тәуелділіктер.

2. Ішкі корпоративтік CA

Құралдар: HashiCorp Vault PKI, Smallstep (step-ca), Microsoft AD CS, CFSSL.
Артықшылықтары: кастомдық саясаткерлер, mTLS, қысқа TTL, ішкі домендерге арналған шығарылым. Кемшіліктері: тамыр дистрибуциясы, сенімді басқару.

3. Гибрид

Сыртқы пайдаланушылар үшін жария CA; ішкі CA - сервис-к-сервис (mTLS), кластер аралық арналар мен әкімшілер үшін.

Автоматты ұзарту паттерндері (renew)

Жалпы қағидаттар

Ұзарту шегі: '≤ 30' күн өткенге дейін бастау; сындарлы сервистер үшін - '≤ 45' күнде.
Zero-downtime: жаңа сертификатты шығару, атомарлық ауыстыру, қосылыстарды үзусіз бірқалыпты reload.
Екі рет ұстау (blue/green): ағымдағы және келесі cert; қайта қосу - symlink немесе нұсқаланған secret арқылы.
Алертинг: 45/30/14/7/3/1 күнгі ескертулер; ACME-челлендждің сәтсіздігі кезінде жеке алерт.

ACME-клиенттер және оларды қолдану

certbot / acme. sh/lego: VM/bare-metal жеңіл агенттері.
cert-manager (Kubernetes): Issuer/ClusterIssuer-мен жұмыс істейтін оператор; release/renew автоматтандырады және Secret бағдарламасына жазады.
step-ca/Vault Agent: қысқа TTL-мен автоматты түрде шығару/ротациялау, кілттер мен тізбектерді жаңарту үшін sidecar үлгілері.

Kubernetes үшін процестер

yaml apiVersion: cert-manager. io/v1 kind: ClusterIssuer metadata:
name: le-http01 spec:
acme:
email: devops@example. com server: https://acme-v02. api. letsencrypt. org/directory privateKeySecretRef:
name: le-account-key solvers:
- http01:
ingress:
class: nginx

yaml apiVersion: cert-manager. io/v1 kind: Certificate metadata:
name: app-cert namespace: prod spec:
secretName: app-tls dnsNames:
- app. example. com issuerRef:
name: le-http01 kind: ClusterIssuer privateKey:
algorithm: ECDSA size: 256 renewBefore: 720h # 30 дней

NGINX-Ingress бағдарламасында ыстық ауыстыру 'Secret' жаңартылғанда автоматты түрде жүзеге асырылады. 'ssl-ecdh-curve: secp256r1' қосыңыз және аңдатпалар/ConfigMap арқылы OCSP stapling қосыңыз.

VM/Bare-metal үшін процестер

bash sudo certbot certonly --webroot -w /var/www/html -d example. com -d www.example. com \
--deploy-hook "systemctl reload nginx"

systemd timer арқылы мерзімді 'certbot renew'.
wildcard үшін DNS-01 (провайдер-плагин) және ұқсас '--deploy-hook' пайдаланыңыз.

bash export CF_Token="" # example for Cloudflare acme. sh --issue --dns dns_cf -d example. com -d '.example. com' \
--keylength ec-256 --ecc \
--reloadcmd "systemctl reload nginx"

NGINX: атомдық алмастыру

'fullchain' дегенді сақтаңыз. pem` и `privkey. pem 'тұрақты жолдардың астында (нұсқаланған файлдарға symlink), содан кейін' nginx -s reload '.

Ішкі PKI және mTLS

bash vault secrets enable pki vault secrets tune -max-lease-ttl=87600h pki vault write pki/root/generate/internal common_name="Corp Root CA" ttl=87600h vault write pki/roles/service \
allowed_domains="svc. cluster. local,internal. example" allow_subdomains=true \
max_ttl="720h" require_cn=false key_type="ec" key_bits=256

Авто шығарылым: Vault Agent Injector (K8s) немесе sidecar арқылы; қолданба cert/FS-watcher файлынан қайта оқиды.
Қысқа TTL: 24-720 сағат, бұл жиі айналымды ынталандырады және ұрланған кілттің құндылығын төмендетеді.
mTLS: нақты қызметтер/рөлдер үшін клиент сертификаттарын беріңіз; кіре берісте - ingress/sidecar-proxy mutual TLS.

Қауіпсіз пайдалану

Құпияларды бөлу: жеке кілттер - хостта ғана, ең аз артықшылықтар қағидаты бойынша қатынау.
Файл құқықтары: кілт үшін '600'; иесі - процесті пайдаланушы.
Грейс кезеңі: 'renewBefore' бағдарламасын DNS/ACME/провайдердің ақаулықтарын ескеруге жеткілікті етіп орнатыңыз.
OCSP Stapling: фронттарда қосу; жауаптың ашықтығын бақылау (әдетте 12-72 сағат).
HSTS: барлық мазмұнды HTTPS-дұрыс жеткізгеніне көз жеткізіп, бірте-бірте қосыңыз («preload» жоқ).
Dual-cert (RSA + ECDSA): үйлесімділік пен өнімділікті жақсартады; қазіргі заманғы клиенттерге ECDSA беріңіз.

Мониторинг және SLO

• Әрбір домен/құпия бойынша (gauge) аяқталуға дейінгі күндер; SLO: «жоқ cert <7 күннен expiry дейін».
• Тізбектің дәлдігі (линтинг), SAN талап етілетін домендерге/IP сәйкестігі.
• OCSP stapling күйі (жауаптың жаңаруы).
• Сәтті/сәтсіз ACME-челленджер үлесі.
• TLS-қол алысу, протокол нұсқасы/шифрлар (audit).

• Warn: аяқталуына 30 күн.
• Crit: 7 күн/сәтсіз 'renew'.
• Page: 72 сағат/өнімдегі салидті емес тізбек/OCSP stapling жоқ.

Оқиғалар мен кері қайтарулар

Сертификаттың мерзімі өтіп кетті: уақытша қайта жіберу және қолмен жабу, RCA тіркеу (неге renew жұмыс істемеді, DNS блоктау/API шектеулері).
Кілттің компрометациясы: дереу қайта шығару/қайтарып алу, құпияларды ротациялау, қолжетімділік аудиті, DNS-провайдер/АСМЕ-аккаунт токендерін ротациялау.
Дұрыс емес тізбек: 'fullchain' түзетуінің жедел деплосы, фронттардың мәжбүрлі reload.
DNS провайдеріне Lock-in: сақтық валидация жолын (HTTP-01) немесе қайталама DNS сақтаңыз.

Автоөнеркәсіпті енгізудің чек-парағы

1. Үлгіні таңдаңыз (ACME/ішкі PKI/гибрид арқылы ашық CA).
2. Криптопрофильді анықтаңыз: ECDSA-P256, қажет болған жағдайда RSA-2048 бар dual-cert.
3. Автоматты агент (cert-manager, certbot, acme. sh, Vault Agent).
4. zero-downtime алмастыруды ұйымдастырыңыз (symlink-pattern, hot-reload ingress/NGINX/Envoy).
5. OCSP stapling және HSTS (кезең-кезеңімен) қосыңыз.
6. Challenge мерзімдері мен мәртебелерінің алертингін қосыңыз; SLO жазу.
7. Break-glass және қолмен шығару процестерін құжаттаңыз.
8. «Фейлдік» жаттығуларды өткізіңіз: сынған DNS-01, ACME құлауы, өтіп кеткен тамыр/аралық.
9. Жеке кілттерге қатынасуды қайта қараңыз, DNS провайдері мен ACME аккаунттарын алмастырыңыз.

iGaming/финтех ерекшеліктері

PCI DSS/PII: қатаң Cipher Suites, мәжбүрлі TLS 1. 2+/1. 3, әлсіз шифрларды/компрессияны өшіру, session resumption қауіпсіздік ымырасы жоқ.
Домендер сегментациясы: төлем поддомендері мен әкімшілер үшін жеке сертификаттар; контент провайдерлері үшін - оқшауланған тізбектер.
Аудит және логика жасау: шығарылымды/пікірді/ротацияны тіркеңіз; CI/CD артефактілеріне қол қойыңыз.
Көп аймақтық: кросс-өңірлік бас тартуларға тәуелді болмау үшін өңірлерге жергілікті Issuer.

Конфигурация мысалдары

NGINX (RSA+ECDSA, OCSP stapling)

nginx ssl_protocols TLSv1. 2 TLSv1. 3;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_ecdh_curve secp256r1;

ssl_certificate   /etc/nginx/certs/app_ecdsa/fullchain. pem;
ssl_certificate_key /etc/nginx/certs/app_ecdsa/privkey. pem;
ssl_certificate   /etc/nginx/certs/app_rsa/fullchain. pem;
ssl_certificate_key /etc/nginx/certs/app_rsa/privkey. pem;

ssl_stapling on;
ssl_stapling_verify on;

add_header Strict-Transport-Security "max-age=31536000" always;

OpenSSL: CSR (ECDSA-P256)

bash openssl ecparam -name prime256v1 -genkey -noout -out privkey. pem openssl req -new -key privkey. pem -out csr. pem -subj "/CN=app. example. com" \
-addext "subjectAltName=DNS:app. example. com,DNS:www.example. com"

CFSSL: профиль және беру

json
{
"signing": {
"profiles": {
"server": {
"usages": ["digital signature","key encipherment","server auth"],
"expiry": "2160h"
}
}
}
}

bash cfssl gencert -profile=server ca. json csr. json      cfssljson -bare server

FAQ

Wildcard қажет пе?
Егер жаңа домендер жиі пайда болса - иә (DNS-01 арқылы). Әйтпесе, ашық домендер үшін multi-SAN пайдаланыңыз.

Не таңдау керек: cert-manager немесе certbot?
Kubernetes → cert-manager. VM/микросервистер K8s → certbot/lego/acme. sh. Ішкі PKI → Vault/step-ca.

TTL тәулікке дейін қысқартуға бола ма?
Ішкі mTLS үшін - иә, егер автоматтандыру/sidecar айналымға кепілдік берсе және қосымшалар hot-reload жасай алады.

DNS-01 қалай қорғауға болады?
Аймаққа жеке токен/ең аз қолжетімділік, кілттерді ротациялау, IP API қолжетімділікті шектеу, аудит жүргізу.

Жиынтығы

TLS сенімді басқару - бұл дұрыс криптопрофиль, автоматтандырылған шығарылым және ұзарту, zero-downtime ротациялары, бақылау және инцидент-респонстың нақты рәсімдерінің үйлесімі. ACME/PXI-конвейер жасаңыз, қатаң алертинг қосыңыз және үнемі «авариялық» сценарийлерді жаттықтырыңыз - және өткен сертификаттар түнгі пейджер көзі болуын тоқтатады.