TLS şahadatnamalary we awtomatiki uzaldyş

Näme üçin gerek?

TLS "müşderi hyzmat" traffigini şifrleýär, serweriň hakykylygyny tassyklaýar (we mTLS - müşderide), şeýle hem çalyşmakdan goraýar. Esasy töwekgelçilikler: şahadatnamalaryň gijikdirilmegi, gowşak açarlar, nädogry ynam zynjyry, el bilen amallar. Makalanyň maksady - şahadatnamalaryň hemişe aktual bolan we rotasiýalaryň ulanyjylara görünmeýän arhitekturasyny beýan etmek.

Esasy düşünjeler

CA/Gol çekiji: sertifikatlaşdyryş merkezi (köpçülige ýa-da içerki).
Chain (fullchain): sahypa şahadatnamasy + aralyk + kök (adatça müşderi ammarlarynda kök).
SAN (Subject Alternative Name): Bir sertifikat üçin domen/IP sanawy (multi-SAN).
Wildcard: `.example. com '- DNS-tassyklamany talap edýän köp sanly alt domen üçin amatly.
OCSP stapling: serwer täze yzyna çagyryş ýagdaýyny ulanýar; gijikdirmeleri we daşarky OCSP-e garaşlylygy azaldýar.
HPKP: köne/ulanylmaýar; munuň ýerine - CT-loglar we esasy arassaçylyk.
CT (Certificate Transparency): köpçülige ýaýradylan loglar - galp neşirlere gözegçilik etmek üçin möhümdir.

Kriptoprofil we açarlar

• ECDSA (P-256) - çalt we ykjam; häzirki zaman müşderileri üçin has gowudyr.
• RSA-2048/3072 - henizem gabat gelýär; dual-cert (RSA + ECDSA) saklanyp bilner.
• Açarlary döretmek: Diňe maksatly tarapda (privatnikleri tor arkaly geçirmezlik), giriş hukuklaryny goramak ('0600').
• HSM/KMS: kritiki zolaklar üçin (töleg/PII) açarlary HSM/KMS-de saklaň, amallaryň auditini açyň.
• Ömrüniň möhleti: gysga şahadatnamalar (içerki üçin 90/30 gün) ýygy-ýygydan aýlanmagy höweslendirýär we eglişik howpuny peseldýär.

TLS dolandyryş arhitektura modelleri

1. ACME arkaly köpçülige açyk CA (Let's Encrypt/Buypass/we ş.m.)

Tassyklamak: HTTP-01 (web-serwer/Ingress arkaly) ýa-da DNS-01 (wildcard/akym däl domenler üçin).
Artykmaçlyklary: mugt/awtomatlaşdyrylan, giň ynam. Minuslar: daşarky endikler.

2. Içerki korporatiw CA

Gurallar: HashiCorp Vault PKI, Smallstep (step-ca), Microsoft AD CS, CFSSL.
Artykmaçlyklary: aýratyn syýasatçylar, mTLS, gysga TTL, içerki domenler üçin goýberiş. Minuslar: köküň paýlanyşy, ynamy dolandyrmak.

3. Gibrid

Daşarky ulanyjylar üçin köpçülige açyk CA; içerki CA - hyzmat-k-hyzmaty (mTLS), klasterara kanallar we administratorlar üçin.

Awtomatiki uzaldyş nusgalary (renew)

Umumy ýörelgeler

Uzaldyş çäkleri: gutarmanka '30' ≤ başlanmaly; möhüm hyzmatlar üçin - '≤ 45' gün.
Zero-downtime: täze şahadatnamanyň çykarylmagy, atomiki çalyşma, baglanyşyklary kesmezden tekiz reload.
Iki gezek saklamak (blue/green): häzirki we indiki sertleri saklamak; Geçiş - symlink ýa-da wersiýaly gizlin arkaly.
Alerting: 45/30/14/7/3/1 gün üçin duýduryşlar; ACME-kynçylyk şowsuz bolanda aýratyn alert.

ACME-müşderiler we olaryň ulanylmagy

certbot / acme. sh/lego: VM/bare-metal üçin ýeňil agentler.
cert-manager (Kubernetes): Issuer/ClusterIssuer bilen işleýän operator; release/renew awtomatlaşdyrýar we Secret-a ýazýar.
step-ca/Vault Agent: açarlary we zynjyrlary täzelemek üçin gysga TTL, sidecar-patternleri bilen awtomatiki goýbermek/aýlanmak.

Kubernetes üçin amallar

yaml apiVersion: cert-manager. io/v1 kind: ClusterIssuer metadata:
name: le-http01 spec:
acme:
email: devops@example. com server: https://acme-v02. api. letsencrypt. org/directory privateKeySecretRef:
name: le-account-key solvers:
- http01:
ingress:
class: nginx

yaml apiVersion: cert-manager. io/v1 kind: Certificate metadata:
name: app-cert namespace: prod spec:
secretName: app-tls dnsNames:
- app. example. com issuerRef:
name: le-http01 kind: ClusterIssuer privateKey:
algorithm: ECDSA size: 256 renewBefore: 720h # 30 дней

NGINX-Ingress-de gyzgyn çalyşma "Gizlin" täzelenende awtomatiki usulda amala aşyrylýar. 'ssl-ecdh-curve: secp256r1' -ni goşuň we/ConfigMap düşündirişleri arkaly OCSP stapling-i açyň.

VM/Bare-metal üçin amallar

bash sudo certbot certonly --webroot -w /var/www/html -d example. com -d www.example. com \
--deploy-hook "systemctl reload nginx"

systemd timer arkaly "certbot renew".
Wildcard üçin DNS-01 (üpjün ediji-plugin) we şuňa meňzeş '--deploy-hook' ulanyň.

bash export CF_Token="" # example for Cloudflare acme. sh --issue --dns dns_cf -d example. com -d '.example. com' \
--keylength ec-256 --ecc \
--reloadcmd "systemctl reload nginx"

NGINX: atom çalşygy

'fullchain' saklaň. pem` и `privkey. pem 'durnukly ýollaryň aşagyndadyr (symlink wersiýaly faýllara), soňra' nginx -s reload '.

Içerki PKI we mTLS

bash vault secrets enable pki vault secrets tune -max-lease-ttl=87600h pki vault write pki/root/generate/internal common_name="Corp Root CA" ttl=87600h vault write pki/roles/service \
allowed_domains="svc. cluster. local,internal. example" allow_subdomains=true \
max_ttl="720h" require_cn=false key_type="ec" key_bits=256

Awto goýberiş: Vault Agent Injector (K8s) ýa-da sidecar arkaly; programma/FS-watcher faýlyndan cert okaýar.
Gysga TTL: 24-720 sagat, bu ýygy-ýygydan aýlanmagy höweslendirýär we ogurlanan açaryň bahasyny peseldýär.
mTLS: anyk hyzmatlar/rollar üçin müşderi şahadatnamalaryny beriň; girelgede - ingress/sidecar-proxy-de mutual TLS.

Howpsuz işlemek

Syrlary bölmek: Şahsy açarlar - diňe host/pod-da, iň az artykmaçlyklar ýörelgesi boýunça elýeterlilik.
Faýl hukuklary: açar üçin '600'; eýesi - prosesiň ulanyjysy.
Grace-period: DNS/ACME/üpjün edijiniň näsazlyklaryny göz öňünde tutmak üçin 'renewBefore' -ni guruň.
OCSP Stapling: frontlarda açmak; jogabyň täzeligine gözegçilik etmek (adatça 12-72 sagat).
HSTS: ähli mazmunyň dogry HTTPS-gowşurylandygyna göz ýetirip, ýuwaş-ýuwaşdan açyň (başda 'preload' bolmazdan).
Dual-cert (RSA + ECDSA): laýyklygy we öndürijiligi gowulandyrýar; häzirki zaman müşderilerine ECDSA beriň.

Gözegçilik we SLO

• Her bir domen/syr boýunça gutarýança (gauge) günler; SLO: "ýok cert <7 günden expiry".
• Zynjyryň dogrulygy (linting), SAN-yň talap edilýän domenlere/IP-e laýyklygy.
• OCSP stapling ýagdaýy.
• Üstünlikli/şowsuz ACME meseleleriniň paýy.
• TLS-el çarpmak, teswirnamanyň wersiýasy/şifrleri (audit).

• Warn: gutarýança 30 gün.
• Crit: 7 gün/' renew 'şowsuzlygy.
• Page: 72 sagat/önümde galyp däl zynjyr/OCSP stapling ýok.

Hadysalar we gaýdyşlar

Şahadatnamanyň gijikdirilmegi: wagtlaýynça gaýtadan goýbermek we el bilen ýapmak, RCA-ny düzetmek (näme üçin renew, DNS blokirlemegi/API çäklendirmeleri işlemedi).
Açaryň bozulmagy: derrew gaýtadan goýberilmegi/yzyna alynmagy, syrlaryň aýlanmagy, giriş auditi, DNS-üpjün edijiniň/ASME-hasabynyň bellikleriniň aýlanmagy.
Nädogry zynjyr: dogry "fullchain", frontlaryň mejbury reloady.
DNS üpjün edijisine gulplama: ätiýaçlyk tassyklama ýoluny (HTTP-01) ýa-da ikinji derejeli DNS saklaň.

Awtoulag önümçiligini girizmegiň çek-sanawy

1. Modeli saýlaň (ACME/içerki PKI/gibrid arkaly köpçülige açyk CA).
2. Kripto profili kesgitläň: ECDSA-P256, zerur bolsa, RSA-2048 bilen dual-cert.
3. Awtomatiki agenti sazlaň (cert-manager, certbot, acme. sh, Vault Agent).
4. Zero-downtime çalyşmagyny guraň (symlink-pattern, hot-reload ingress/NGINX/Envoy).
5. OCSP stapling we HSTS (tapgyrlaýyn).
6. Kynçylyklaryň möhletlerini we statuslaryny alerting goşuň; SLO ýazmak.
7. Break-glass we el bilen çykarmak proseslerini resminamalaşdyryň.
8. "Feýl" maşklaryny geçiriň: döwülen DNS-01, ACME ýykylmagy, gutaran kök/aralyk.
9. Şahsy açarlary gözden geçiriň, DNS üpjün edijisiniň belliklerini we ACME hasaplaryny aýlanyň.

iGaming/fintech üçin aýratynlyklar

PCI DSS/PII: berk Cipher Suites, mejbury TLS 1. 2+/1. 3, gowşak şifrleri/gysyşy öçürmek, session resumption howpsuzlyk ylalaşyksyz.
Domen segmentasiýasy: töleg subdomenleri we administratorlar üçin aýratyn şahadatnamalar; mazmun üpjün edijiler üçin - izolirlenen zynjyrlar.
Audit we logirleme: çykarylyşyny/yzyna alynmagyny/aýlawlaryny ýazga alyň; CI/CD artefaktlaryna gol çekiň.
Köp sebitlilik: Sebitlere ýerli Issuer-ler, sebitleýin çökgünliklere bagly bolmazlygy üçin.

Konfigurasiýa mysallary

NGINX (RSA+ECDSA, OCSP stapling)

nginx ssl_protocols TLSv1. 2 TLSv1. 3;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_ecdh_curve secp256r1;

ssl_certificate   /etc/nginx/certs/app_ecdsa/fullchain. pem;
ssl_certificate_key /etc/nginx/certs/app_ecdsa/privkey. pem;
ssl_certificate   /etc/nginx/certs/app_rsa/fullchain. pem;
ssl_certificate_key /etc/nginx/certs/app_rsa/privkey. pem;

ssl_stapling on;
ssl_stapling_verify on;

add_header Strict-Transport-Security "max-age=31536000" always;

OpenSSL: CSR (ECDSA-P256)

bash openssl ecparam -name prime256v1 -genkey -noout -out privkey. pem openssl req -new -key privkey. pem -out csr. pem -subj "/CN=app. example. com" \
-addext "subjectAltName=DNS:app. example. com,DNS:www.example. com"

CFSSL: profil we ekstradisiýa

json
{
"signing": {
"profiles": {
"server": {
"usages": ["digital signature","key encipherment","server auth"],
"expiry": "2160h"
}
}
}
}

bash cfssl gencert -profile=server ca. json csr. json      cfssljson -bare server

FAQ

Wildcard gerekmi?
Täze subtomenler ýygy-ýygydan peýda bolsa - hawa (DNS-01 arkaly). Otherwiseogsam, aç-açan domenler üçin multi-SAN ulanyň.

Näme saýlamaly: cert-manager ýa-da certbot?
Kubernetes → cert-manager. VM/mikroservisler K8s → certbot/lego/acme. sh. Içerki PKI → Vault/step-ca.

TTL-i bir güne çenli azaltmak mümkinmi?
Içerki mTLS üçin - hawa, eger awtomatlaşdyryş/sidecar aýlanmagy kepillendirse we programmalar hot-reload edip bilse.

DNS-01 nädip goramaly?
Aýratyn belgi/zona iň az elýeterlilik, açarlaryň aýlanmagy, IP API-elýeterliligi çäklendirmek, audit geçirmek.

Jemi

TLS-iň ygtybarly dolandyrylyşy, dogry kriptoprofiliň, awtomatlaşdyrylan goýberilişiň we uzaldyşyň, zero-downtime rotasiýalarynyň, gözegçilik edilişiniň we waka-responsyň anyk proseduralarynyň utgaşmasydyr. ACME/PXI konweýerini guruň, berk alerting goşuň we "gyssagly" ssenariýalary yzygiderli taýýarlaň - möhleti geçen şahadatnamalar gijeki jaň edijileriň çeşmesi bolmagyny bes eder.