Platform Hosting en Automation maken PKI aanvragen makkelijk

Team Automation en Platform Hosting hebben de handen ineen geslagen bij de totstandkoming van een nieuwe service, de aanvraag Public Key Infrastructure (PKI). De beheerteams binnen de Justitiële ICT Organisatie kunnen met deze service via het Portaal van Automation eenvoudig en snel een PKI certificaat aanvragen.

Beeld: ©Justitiële ICT Organisatie

Eenvoudig en snel

Het PKI certificaat wordt gebruikt om de communicatie te beveiligen tussen elektronische overheidsapplicaties en diensten. Tot voor kort was het verkrijgen van een PKI certificaat een langdurig proces met een doorlooptijd van meerdere dagen of zelfs weken. Met de nieuwe aanvraagservice is dit nu verleden tijd. Het Portaal van Automation wordt al veelvuldig door beheerders gebruikt om eenvoudig en snel meer dan 50 verschillende soorten servers volledig automatisch te implementeren, voor zowel onze eigen organisatie als onze opdrachtgevers. Dit gaat met tientallen en soms wel honderden tegelijk. Zo zijn inmiddels al 197 certificaten via dit proces geleverd.

Focus op techniek

Voor het team Automation was het realiseren van de nieuwe PKI aanvraagservice – waarbij het administratieve proces met het technische proces is vervlochten –  een logische volgende stap. De afgelopen jaren lag de focus voornamelijk op het technische gedeelte, zoals het ontwikkelen van server bouwstenen en geautomatiseerde deployment systemen in klant- en beheeromgevingen. Ook heeft Automation gewerkt aan een geautomatiseerde software ontwikkelstraat (CI/CD) om ontwerp en fabricage van bouwstenen te borgen. De komende periode werkt het team verder aan het volledig orchestreren van gehele processen.

Service flow

Jeffrey, Ontwikkelaar van de PKI aanvraagservice over het maken van de service flow.

“Het doel van automation is om onze IT afdelingen te voorzien van handige knoppen om op een vrij simpele en laagdrempelige manier zaken aan te vragen en te realiseren op een generieke manier. Nadat wij de vraag kregen om een service flow te maken rondom PKI Certificaat aanvragen, onderzocht ik samen met een collega wat wel en vooral níet moet gebeuren bij een dergelijke aanvraag.

Om geautomatiseerd een dergelijk verzoek te doen is vanuit ons Security team de eis gesteld dat alle verzoeken gecontroleerd worden op bepaalde randvoorwaarden. Bijvoorbeeld dat klantomgeving A geen gegevens van klant B mag bevatten. Al met al komt er veel meer bij kijken dan alleen een script op een PKI WebServer loslaten en een certificaat ontvangen. De scripts worden zo geschreven dat het niet uitmaakt op welke (PKI) omgeving ze losgelaten worden, generiek dus. Ook mag de borging van de aangevraagde certificaten niet vergeten worden. Momenteel worden deze nog in een tijdelijke database opgeslagen om ze later te kunnen registreren in de centrale Asset Management Database (AMDB). Bij het verlopen van een certificaat kan nu eenvoudig achterhaald worden, wie hiervoor verantwoordelijk is en een nieuw certificaat worden aangevraagd.

De samenwerking met onze collega`s van Platform Hosting is zeer goed bevallen. Direct schakelen en eventueel trouble shooten maakt het ontwikkelen een stuk makkelijker. Mijn motto bij ieder verzoek: één keer automatiseren kost veel tijd en inspanning, maar als het dan eenmaal werkt, kost een aanvraag maar enkele muisklikken.”

Bits en bytes

Ben, Ontwikkelaar en bouwsteenverantwoordelijke van de PKI bouwsteen over de betekenis voor het aanvraagproces.

"Na elk bit en byte van de Public Key Infrastructure (PKI) te hebben omgekeerd en omgezet in code, verwerkte het Automation team dit in verschillende automation workflows. Voor Platform Hosting is het eindproduct een volledig geautomatiseerde PKI-omgeving, die in al onze klantomgevingen is uitgerold. Het is nu mogelijk om de uitrol van een PKI binnen een dag te realiseren. Op dit moment zijn er al meer dan 10 PKI omgevingen middels deze workflow uitgerold.

Voor de aanvrager van een certificaat is het eindresultaat een opgeleverd webcertificaat voor gebruik op load balancers en webservers. Hiermee hebben we alle activiteiten in het aanvraagproces geautomatiseerd, zodat het nu een kwestie van minuten is om een standaard certificaat te verstrekken."

Kortere doorlooptijd

Peter-Alix, Technisch beheerder over het gemak van aanvragen.

"Voor een certificaat moesten wij voorheen meerdere acties ondernemen. Je begon met het maken van een certificaataanvraag op de applicatieserver en uploadde deze vervolgens handmatig op de uitgiftewebsite van de oude PKI. Hierna moest een Word-formulier worden ingevuld en gekoppeld worden in ons servicedesk systeem. Nadat het Security team het certificaat had vrijgegeven, konden wij weer verder.

Dankzij de nieuwe service hoeven wij al deze stappen niet meer te doorlopen en kunnen wij eenvoudig en snel via het portaal van Automation direct het certificaat aanvragen. Dit scheelt ons als beheerders enorm veel tijd en komt ten goede aan onze dienstverlening. De doorlooptijd van een aanvraag is verkort van een week of langer naar slechts 5 minuten! Die tijd kunnen we nu besteden aan reguliere beheerwerkzaamheden en het ondersteunen van onze opdrachtgevers."