{"id":2234,"date":"2025-03-25T23:59:00","date_gmt":"2025-03-25T22:59:00","guid":{"rendered":"https:\/\/axelssoncloudconsulting.com\/?p=2234"},"modified":"2025-08-31T20:43:15","modified_gmt":"2025-08-31T18:43:15","slug":"besuch-des-kunden-und-selbstsignierte-stammdatenerstellung","status":"publish","type":"post","link":"https:\/\/axelssoncloudconsulting.com\/de-de\/nachrichten\/besuch-des-kunden-und-selbstsignierte-stammdatenerstellung\/","title":{"rendered":"Client-Besuch und selbstsignierte Root-CA-Generierung"},"content":{"rendered":"<p>Eine bleibende Auswirkung der Pandemie, vor allem im Arbeits- und Gesch\u00e4ftsleben, ist die zunehmende Akzeptanz der Fernarbeit, die durch digitale Dienste und Plattformen f\u00fcr die Zusammenarbeit erm\u00f6glicht wird. Dennoch kann die gelegentliche physische Anwesenheit von Angesicht zu Angesicht vorteilhaft sein und ist etwas, das sich in der digitalen Welt nur schwer reproduzieren l\u00e4sst. Es war gro\u00dfartig, einen Tag mit dem gro\u00dfartigen und hochqualifizierten Team in den R\u00e4umlichkeiten des Kunden in \u00c4lmhult, Schweden, zu verbringen. In diesem Teilzeit-Remote-Einsatz unterst\u00fctze ich das Team bei der Verbesserung und weiteren und vollst\u00e4ndigen Nutzung der M\u00f6glichkeiten, die durch die richtigen und verbesserten Cloud-nativen Dienste und das Cloud-native Computing in Azure freigesetzt werden, einschlie\u00dflich der Festlegung neuer Ressourcen-, Tagging- und Namenskonventionen f\u00fcr die Projektkostenverfolgung und -analyse, der Einf\u00fchrung neuer Speicherl\u00f6sungen mit Schwerpunkt auf Kosteneffizienz, Leistung, Skalierung und Sicherheit, der Nutzung privater Endpunkte, des Azure VPN Gateways, konfiguriert mit Entra ID Arbeits- und Schulkonten-Authentifizierung und Azure Private DNS Resolver- und Zonen, f\u00fcr vollst\u00e4ndig private Endpunktverbindungen und -aufl\u00f6sungen, Azure Kubernetes Services (AKS) Wartungen und Migrationen, Sicherstellung der Subnetz-NSG-Integration mit ein- und ausgehenden Regeln, Netzwerksegmentierung, Durchsetzung der VNet- und Subnetz-Integration und Anwendung eines Hub-Spoke-Netzwerktopologieansatzes, mit VNet-Peerings zu Zielanwendungs-VNets, Ausweitung der Nutzung identit\u00e4tsbasierter Authentifizierung sowie Nutzung von IaC zur Automatisierung von Infrastrukturimplementierungen und zur einheitlichen Durchsetzung von Struktur-, Benennungs-, Hierarchie- und Sicherheitsvorgaben und -konfigurationen usw., um die Einhaltung von Best Practices und Richtlinien zu gew\u00e4hrleisten.<\/p>\n\n\n\n<p>Bei einem k\u00fcrzlich durchgef\u00fchrten Workload bestand die Anforderung, vorzugsweise eine freie oder quelloffene \u00f6ffentliche Stammzertifizierungsstelle (Certificate Authority) zu verwenden. Die meisten Geheimnisse und Zertifikate sind bereits in Azure Key Vaults gespeichert, der bevorzugten Option f\u00fcr die Speicherung von Geheimnissen und den Zugriff auf Geheimnisse in Azure, und da dieses CA-Zertifikat von einem anderen Azure-Dienst verwendet werden sollte, war die Speicherung des Zertifikats in Azure Key Vault eine naheliegende Wahl. Es gibt viele verschiedene Alternativen, Leitf\u00e4den und Ans\u00e4tze im Internet, um selbstsignierte \u00f6ffentliche Root-CAs zu generieren, jedoch erfordern viele von ihnen die Bereitstellung mehrerer Komponenten\/Ressourcen und Ressourcengruppen, wie DNS-Zonen, Azure-Funktionen und andere Ressourcen f\u00fcr die Erstellung und regelm\u00e4\u00dfige Erneuerung der CA, Ans\u00e4tze, die manchmal sogar hochprivilegierte Rollen wie z. B. das Recht des Eigent\u00fcmers auf den Abonnementbereich erfordern, um zu funktionieren, was aus der Perspektive des Prinzips der geringsten Rechte (PoLP) und der Sicherheit nicht ideal ist, und auch ziemlich viele Schritte f\u00fcr die Generierung selbst umfassen und somit sowohl Sicherheitsbedenken als auch eine gewisse Komplexit\u00e4t f\u00fcr die Automatisierung der CA-Erneuerung hinzuf\u00fcgen, die f\u00fcr selbstsignierte Stammzertifikate erforderlich ist. Einige Tools wie Certbot bieten eine angemessene Benutzerfreundlichkeit mit relativ wenigen Schritten. Die L\u00f6sung mit den wenigsten Berechtigungen und den wenigsten Schritten, die f\u00fcr die Erstellung einer konformen \u00f6ffentlichen Root-CA erforderlich sind, war AZ ACME. Sie erfordert nur Berechtigungen f\u00fcr die Azure Key Vault-Ressource, f\u00fcr die das Zertifikat ausgestellt werden soll, und die Azure DNS-Zone bzw. den Anbieter, <a href=\"https:\/\/azacme.dev\/docs\/introduction\" target=\"_blank\" rel=\"noreferrer noopener\">AZ ACME<\/a> repliziert die Zertifikatsverwaltungsf\u00e4higkeiten, die nativ zwischen Azure Key Vault und seinen nativen TLS-Ausstellern Digicert und GlobalSign bestehen, und erm\u00f6glicht es dem Zertifikat, Verwaltungsf\u00e4higkeiten zu zeigen, als w\u00e4re es eine voll ausgestattete CA, ohne dass irgendeine andere Infrastruktur oder Komponenten erforderlich sind, wobei nur zwei Befehle ausgef\u00fchrt werden m\u00fcssen, um die konforme Let's Encrypt- oder ZeroSSL-selbstsignierte \u00f6ffentliche Root-CA zu erzeugen. Mit seiner az cli-Esque-Syntax und den leicht verf\u00fcgbaren GitHub-Aktionen und BiCep-Beispielen wird die Automatisierung der regelm\u00e4\u00dfigen 90-t\u00e4gigen Zertifikatserneuerung, z. B. mit dem cli, der auf einer Runner-VM, einem Cluster- oder Build-Agent mit der Identit\u00e4t zugewiesenen Rollen \u00fcber die DNS-Zone und Azure Key Vault-Bereiche installiert ist, zu einem sehr unkomplizierten Prozess. Ich kann jedem, der auf der Suche nach erf\u00fcllenden Anwendungsf\u00e4llen ist, die die Generierung von selbstsignierten Root-CAs beinhalten, und dies mit einem Minimum an Komponenten, Komplexit\u00e4t und Berechtigungen, definitiv empfehlen, AZ ACME einen Blick zu werfen.<\/p>","protected":false},"excerpt":{"rendered":"<p>Eine bleibende Auswirkung der Pandemie, insbesondere im Arbeits- und Gesch\u00e4ftsleben, ist ein h\u00f6heres Ma\u00df an Fernarbeit, die durch digitale Kollaborationsdienste und -plattformen erm\u00f6glicht wird. Dennoch kann die gelegentliche physische Anwesenheit von Angesicht zu Angesicht vorteilhaft sein und ist etwas, das sich in digitalen Bereichen nicht so leicht reproduzieren l\u00e4sst, und es war gro\u00dfartig <a href=\"https:\/\/axelssoncloudconsulting.com\/de-de\/nachrichten\/besuch-des-kunden-und-selbstsignierte-stammdatenerstellung\/\" class=\"more-link\">&#8230;<span class=\"screen-reader-text\">  Client-Besuch und selbstsignierte Root-CA-Generierung<\/span><\/a><\/p>","protected":false},"author":1,"featured_media":2235,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[4],"tags":[],"class_list":["post-2234","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-news"],"acf":[],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v25.1 - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>Client visit and self-signed root CA generation | Axelsson Consulting<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/axelssonconsulting.de\/news\/client-visit-and-self-signed-root-ca-generation\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Client visit and self-signed root CA generation | Axelsson Consulting\" \/>\n<meta property=\"og:description\" content=\"One lasting effect following the pandemic, especially in the work- and business life, is a higher degree of remote work typically accepted, enabled through digital collaboration services and platforms. Still, the occasional physical presence meeting face-to-face can be beneficial though and something that&#8217;s not easy to replicate in digital realms only, and it was great ... Client visit and self-signed root CA generation\" \/>\n<meta property=\"og:url\" content=\"https:\/\/axelssonconsulting.de\/news\/client-visit-and-self-signed-root-ca-generation\/\" \/>\n<meta property=\"og:site_name\" content=\"Axelsson Consulting\" \/>\n<meta property=\"article:published_time\" content=\"2025-03-25T22:59:00+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-08-31T18:43:15+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/axelssoncloudconsulting.com\/wp-content\/uploads\/client_visit_az_acme.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"2400\" \/>\n\t<meta property=\"og:image:height\" content=\"1254\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"kristoffer\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Verfasst von\" \/>\n\t<meta name=\"twitter:data1\" content=\"kristoffer\" \/>\n\t<meta name=\"twitter:label2\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data2\" content=\"3\u00a0Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\/\/axelssonconsulting.de\/news\/client-visit-and-self-signed-root-ca-generation\/\",\"url\":\"https:\/\/axelssonconsulting.de\/news\/client-visit-and-self-signed-root-ca-generation\/\",\"name\":\"Client visit and self-signed root CA generation | Axelsson Consulting\",\"isPartOf\":{\"@id\":\"https:\/\/axelssoncloudconsulting.com\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/axelssonconsulting.de\/news\/client-visit-and-self-signed-root-ca-generation\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/axelssonconsulting.de\/news\/client-visit-and-self-signed-root-ca-generation\/#primaryimage\"},\"thumbnailUrl\":\"\/wp-content\/uploads\/client_visit_az_acme.jpg\",\"datePublished\":\"2025-03-25T22:59:00+00:00\",\"dateModified\":\"2025-08-31T18:43:15+00:00\",\"author\":{\"@id\":\"https:\/\/axelssoncloudconsulting.com\/#\/schema\/person\/4b32ddb8adbfb49c47a66b41c9c6e0f3\"},\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/axelssonconsulting.de\/news\/client-visit-and-self-signed-root-ca-generation\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\/\/axelssonconsulting.de\/news\/client-visit-and-self-signed-root-ca-generation\/#primaryimage\",\"url\":\"\/wp-content\/uploads\/client_visit_az_acme.jpg\",\"contentUrl\":\"\/wp-content\/uploads\/client_visit_az_acme.jpg\",\"width\":2400,\"height\":1254},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/axelssoncloudconsulting.com\/#website\",\"url\":\"https:\/\/axelssoncloudconsulting.com\/\",\"name\":\"Axelsson Consulting\",\"description\":\"Delivering premium digital experiences at cloud scale\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/axelssoncloudconsulting.com\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de\"},{\"@type\":\"Person\",\"@id\":\"https:\/\/axelssoncloudconsulting.com\/#\/schema\/person\/4b32ddb8adbfb49c47a66b41c9c6e0f3\",\"name\":\"kristoffer\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\/\/axelssoncloudconsulting.com\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/b05f7854d6391853f3d6984120dd24c8?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/b05f7854d6391853f3d6984120dd24c8?s=96&d=mm&r=g\",\"caption\":\"kristoffer\"},\"sameAs\":[\"https:\/\/axelssonconsultingweb-dcewahhaapcdajc5.northeurope-01.azurewebsites.net\"],\"url\":\"https:\/\/axelssoncloudconsulting.com\/de-de\/author\/kristoffer\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Client visit and self-signed root CA generation | Axelsson Consulting","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/axelssonconsulting.de\/news\/client-visit-and-self-signed-root-ca-generation\/","og_locale":"de_DE","og_type":"article","og_title":"Client visit and self-signed root CA generation | Axelsson Consulting","og_description":"One lasting effect following the pandemic, especially in the work- and business life, is a higher degree of remote work typically accepted, enabled through digital collaboration services and platforms. Still, the occasional physical presence meeting face-to-face can be beneficial though and something that&#8217;s not easy to replicate in digital realms only, and it was great ... Client visit and self-signed root CA generation","og_url":"https:\/\/axelssonconsulting.de\/news\/client-visit-and-self-signed-root-ca-generation\/","og_site_name":"Axelsson Consulting","article_published_time":"2025-03-25T22:59:00+00:00","article_modified_time":"2025-08-31T18:43:15+00:00","og_image":[{"width":2400,"height":1254,"url":"https:\/\/axelssoncloudconsulting.com\/wp-content\/uploads\/client_visit_az_acme.jpg","type":"image\/jpeg"}],"author":"kristoffer","twitter_card":"summary_large_image","twitter_misc":{"Verfasst von":"kristoffer","Gesch\u00e4tzte Lesezeit":"3\u00a0Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/axelssonconsulting.de\/news\/client-visit-and-self-signed-root-ca-generation\/","url":"https:\/\/axelssonconsulting.de\/news\/client-visit-and-self-signed-root-ca-generation\/","name":"Client visit and self-signed root CA generation | Axelsson Consulting","isPartOf":{"@id":"https:\/\/axelssoncloudconsulting.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/axelssonconsulting.de\/news\/client-visit-and-self-signed-root-ca-generation\/#primaryimage"},"image":{"@id":"https:\/\/axelssonconsulting.de\/news\/client-visit-and-self-signed-root-ca-generation\/#primaryimage"},"thumbnailUrl":"\/wp-content\/uploads\/client_visit_az_acme.jpg","datePublished":"2025-03-25T22:59:00+00:00","dateModified":"2025-08-31T18:43:15+00:00","author":{"@id":"https:\/\/axelssoncloudconsulting.com\/#\/schema\/person\/4b32ddb8adbfb49c47a66b41c9c6e0f3"},"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/axelssonconsulting.de\/news\/client-visit-and-self-signed-root-ca-generation\/"]}]},{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/axelssonconsulting.de\/news\/client-visit-and-self-signed-root-ca-generation\/#primaryimage","url":"\/wp-content\/uploads\/client_visit_az_acme.jpg","contentUrl":"\/wp-content\/uploads\/client_visit_az_acme.jpg","width":2400,"height":1254},{"@type":"WebSite","@id":"https:\/\/axelssoncloudconsulting.com\/#website","url":"https:\/\/axelssoncloudconsulting.com\/","name":"Axelsson Consulting","description":"Delivering premium digital experiences at cloud scale","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/axelssoncloudconsulting.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de"},{"@type":"Person","@id":"https:\/\/axelssoncloudconsulting.com\/#\/schema\/person\/4b32ddb8adbfb49c47a66b41c9c6e0f3","name":"kristoffer","image":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/axelssoncloudconsulting.com\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/b05f7854d6391853f3d6984120dd24c8?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/b05f7854d6391853f3d6984120dd24c8?s=96&d=mm&r=g","caption":"kristoffer"},"sameAs":["https:\/\/axelssonconsultingweb-dcewahhaapcdajc5.northeurope-01.azurewebsites.net"],"url":"https:\/\/axelssoncloudconsulting.com\/de-de\/author\/kristoffer\/"}]}},"_links":{"self":[{"href":"https:\/\/axelssoncloudconsulting.com\/de-de\/wp-json\/wp\/v2\/posts\/2234"}],"collection":[{"href":"https:\/\/axelssoncloudconsulting.com\/de-de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/axelssoncloudconsulting.com\/de-de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/axelssoncloudconsulting.com\/de-de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/axelssoncloudconsulting.com\/de-de\/wp-json\/wp\/v2\/comments?post=2234"}],"version-history":[{"count":8,"href":"https:\/\/axelssoncloudconsulting.com\/de-de\/wp-json\/wp\/v2\/posts\/2234\/revisions"}],"predecessor-version":[{"id":2246,"href":"https:\/\/axelssoncloudconsulting.com\/de-de\/wp-json\/wp\/v2\/posts\/2234\/revisions\/2246"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/axelssoncloudconsulting.com\/de-de\/wp-json\/wp\/v2\/media\/2235"}],"wp:attachment":[{"href":"https:\/\/axelssoncloudconsulting.com\/de-de\/wp-json\/wp\/v2\/media?parent=2234"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/axelssoncloudconsulting.com\/de-de\/wp-json\/wp\/v2\/categories?post=2234"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/axelssoncloudconsulting.com\/de-de\/wp-json\/wp\/v2\/tags?post=2234"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}