Tenga una cantidad de servicios de red privada implementados en diferentes nodos fuera de los sistemas de malla opcionalmente encriptados, como Docker o Consul.
Los servicios tienen un alto valor y solo deben comunicarse a través de TLS, actualmente utilizando OpenSSL.
Una vez que los certificados estén a punto de caducar en el entorno de producción, ¿deberían ser renovados manualmente por sys-admin o se pueden automatizar de alguna manera?
¿Es seguro usar las tareas cron para esto?
La renovación del certificado se puede automatizar siempre que el procedimiento completo (flujo de trabajo) esté bien definido, sea transparente y esté aprobado dentro de su empresa (por el equipo de seguridad). Puede utilizar tareas programadas (cron, en su caso) para
Cuando todo el proceso es seguro (es decir, las claves se generan en el sistema de destino y no se abandonan, los CSR se validan / revisan y autentican en el servidor de CA, etc.) No veo por qué no puede ser. automatizado.
Lea otras preguntas en las etiquetas encryption network tls certificates openssl