PKI-varmentajan rakentaminen osaksi testiautomaatiota
Tuure, Eero (2021)
2021
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2021083017249
https://urn.fi/URN:NBN:fi:amk-2021083017249
Tiivistelmä
Insinöörityössä tutkittiin PKI (Public Key Infrastucture) -rakennetta, -menetelmiä ja -standardeja. Työn tarkoituksena oli selvittää, mitä vaatisi rakentaa CMP (Certificate Management Protocol) -protokollaa tukeva CA (Certificate Authority) -palvelin, jonka tarkoituksena olisi toimia ulkoisen CMP-palvelimen sijaisena testitapausten suorituksissa.
Työssä selvitettiin, mitä avoimen lähdekoodin PKI-ohjelmistoja on saatavilla, sekä tutkittiin kohdesuoritusympäristönä toimivan Kubernetes-hallintaohjelmiston rakennetta ja mahdollisuuksia. Selvityksen perusteella insinöörityössä suunniteltiin EJBCA-ohjelmistosta ja muista tarpeellisista palveluista CA-kokonaisuus, joka tukisi CMP- sekä LDAP-protokollia ja jota voitaisiin suorittaa Kubernetes-klusteriympäristössä.
Insinöörityössä tutkittiin EJBCA-ohjelmiston mahdollisuuksia ja konfigurointia sekä perehdyttiin syvemmin CMP-protokollaviestien rakenteisiin. Työssä keskityttiin 3GPP-standardissa määriteltyyn CMPv2-profiiliin, joka määrittää tarkemmat rajoitukset CMP-protokollaan. Tämän tarkastelun pohjalta selvitettiin, minkälaiset CMP-määritykset ovat mahdollisia ja miten tehdyt määritykset olisivat aina valmiina määriteltyjä asennettaessa ohjelmisto Kubernetes-klusteriympäristöön.
Työssä suunniteltiin, kuinka kehitetystä palvelusta saataisiin helposti uudelleen määriteltävä testitapauksia varten. Palvelun valmiin konfiguraation toteutuksessa ilmeni myös haasteita, kuten että kaikkia konfiguraatioita ei pystytty ohjelmiston komentotulkin kautta asettamaan. Tähän vaadittiin muita lähestymistapoja. Lisäksi konfiguraatioiden suorittaminen hidastaa palvelukokonaisuuden käynnistymistä Kubernetes-ympäristössä, mihin insinöörityössä pohdittiin ratkaisua.
Lopputuloksena palvelukokonaisuus liitettiin olemassa olevaan CI/CD-järjestelmään korvaamaan ulkoinen CMP-palvelin testitapausten suorittamisessa. Työn tuloksia ja tehtyä selvitystyötä voidaan hyödyntää CA-palveluiden rakentamisessa, etenkin Kubernetes-klusteriympäristössä. Insinöörityö antaa myös tarkempaa kuvausta CMP-protokollasta ja sen operaatioista.
Työssä selvitettiin, mitä avoimen lähdekoodin PKI-ohjelmistoja on saatavilla, sekä tutkittiin kohdesuoritusympäristönä toimivan Kubernetes-hallintaohjelmiston rakennetta ja mahdollisuuksia. Selvityksen perusteella insinöörityössä suunniteltiin EJBCA-ohjelmistosta ja muista tarpeellisista palveluista CA-kokonaisuus, joka tukisi CMP- sekä LDAP-protokollia ja jota voitaisiin suorittaa Kubernetes-klusteriympäristössä.
Insinöörityössä tutkittiin EJBCA-ohjelmiston mahdollisuuksia ja konfigurointia sekä perehdyttiin syvemmin CMP-protokollaviestien rakenteisiin. Työssä keskityttiin 3GPP-standardissa määriteltyyn CMPv2-profiiliin, joka määrittää tarkemmat rajoitukset CMP-protokollaan. Tämän tarkastelun pohjalta selvitettiin, minkälaiset CMP-määritykset ovat mahdollisia ja miten tehdyt määritykset olisivat aina valmiina määriteltyjä asennettaessa ohjelmisto Kubernetes-klusteriympäristöön.
Työssä suunniteltiin, kuinka kehitetystä palvelusta saataisiin helposti uudelleen määriteltävä testitapauksia varten. Palvelun valmiin konfiguraation toteutuksessa ilmeni myös haasteita, kuten että kaikkia konfiguraatioita ei pystytty ohjelmiston komentotulkin kautta asettamaan. Tähän vaadittiin muita lähestymistapoja. Lisäksi konfiguraatioiden suorittaminen hidastaa palvelukokonaisuuden käynnistymistä Kubernetes-ympäristössä, mihin insinöörityössä pohdittiin ratkaisua.
Lopputuloksena palvelukokonaisuus liitettiin olemassa olevaan CI/CD-järjestelmään korvaamaan ulkoinen CMP-palvelin testitapausten suorittamisessa. Työn tuloksia ja tehtyä selvitystyötä voidaan hyödyntää CA-palveluiden rakentamisessa, etenkin Kubernetes-klusteriympäristössä. Insinöörityö antaa myös tarkempaa kuvausta CMP-protokollasta ja sen operaatioista.