Поэтапное внедрение Smallstep CA и Ora

Поэтапное внедрение Smallstep CA для SSH‑сертификатов и сервиса Ora с интеграцией в Windows AD.

1. Подготовительный этап

Определить цели: какие группы пользователей и какие хосты переводим на SSH‑сертификаты.
Назначить ответственных: PKI/безопасность, инфраструктура, Linux‑админы, AD‑админы.
Проверить время: настроить NTP на клиентах, серверах и CA.
Собрать инвентарь: список хостов, SSH‑политики, текущие ключи/доступы.

2. Проектирование

Спроектировать роли: маппинг групп AD → SSH‑принципалы.
Определить TTL сертификатов пользователей и хостов.
Решить по отказоустойчивости: HA для step-ca, резервное хранение root‑ключей.
Согласовать аудит: где и как хранить логи выдачи и входов.

3. Развёртывание Smallstep CA

Инициализировать step-ca и корневой ключ (offline).
Настроить SSH‑политики и шаблоны.
Настроить доверие хостов к CA (TrustedUserCAKeys, TrustedHostCAKeys).
Подготовить процедуры выпуска/обновления сертификатов.

4. Внедрение Ora и интеграция с AD

Развернуть Ora как сервис.
Настроить доступ к AD по LDAPS и пул соединений.
Реализовать проверки статуса учётки и членства в группах.
Привязать политики выдачи сертификатов к данным из AD.

5. Пилот

Выбрать ограниченную группу пользователей и небольшой набор хостов.
Настроить клиентские сценарии: step ssh login, проверка доступа.
Проверить аудит: логи выдачи, логи SSH‑доступа.
Зафиксировать проблемы, обновить политики/шаблоны.

6. Постепенный перевод в прод

Включать по доменам/группам и по зонам инфраструктуры.
Оставить временную совместимость с ключами (если нужно).
Периодически сокращать TTL и усиливать политики.

7. Эксплуатация и поддержка

Регулярно тестировать процедуру восстановления.
Обновлять версии step/step-ca и Ora.
Проводить ревизии групп AD и политик выдачи.
Следить за NTP и доступностью CA.

8. Завершение миграции

Отключить вход по ключам там, где это допустимо.
Удалить устаревшие ключи и файлы authorized_keys.
Утвердить эксплуатационные регламенты и SLA.