https://this-is-fine.io/tags/ca/Recent content in Ca on FuchsbauHugode-DETue, 09 Jun 2026 14:00:00 +0200https://this-is-fine.io/posts/20260609-offline-ca-cert-manager/Tue, 09 Jun 2026 14:00:00 +0200https://this-is-fine.io/posts/20260609-offline-ca-cert-manager/<p>Lange hat <a href="https://www.vaultproject.io/" rel="external noopener" target="_blank">Vault</a> in meinem Lab die internen Zertifikate ausgestellt — eine PKI-Engine, ein <code>cert-manager</code>-<code>ClusterIssuer</code> namens <code>vault</code>, fertig. Bequem. Und ein Single Point of Failure mit Ansage: Ist Vault sealed, abgelaufen oder beim Bootstrap, stellt niemand mehr ein Cert aus. Genau dieses Henne-Ei hat mich schon einmal in eine Break-Glass-Recovery gezwungen. Also habe ich die PKI von Vault gelöst und auf das gestellt, wofür X.509 eigentlich gedacht ist: eine <strong>Offline-Hierarchie</strong>, deren teuerste Schlüssel nie online sind.</p>