🔐 PKI / Trust Center

Eine klare, souveräne PKI‑Architektur, die perfekt zu xpcom‑bsd passt: minimal, auditierbar, reproduzierbar und vollständig unter eigener Kontrolle. Jede Sektion ist so formuliert, dass sie direkt in die Dokumentation übernommen werden kann.

Smallstep CA Setup

  • Lokale, souveräne Certificate Authority auf Basis von Smallstep.
  • Getrennte Rollen: Root CA, Intermediate CA, Provisioner.
  • Root‑Zertifikat offline, Intermediate online mit minimalem Angriffsprofil.
  • Deterministische Konfiguration: ca.json, authority.json, reproduzierbare Schlüsselparameter.
  • Integration in Build‑ und Release‑Pipeline: Signatur aller Artefakte (Kernel, Pakete, Manifeste).

Zertifikatsrichtlinien

  • Identitätsbasierte Ausstellung: Geräte, Dienste und Nutzer erhalten eindeutige, auditierbare Identitäten.
  • Minimalistische Profile: Nur notwendige Extensions, keine überladenen X.509‑Felder.
  • Kurzlebige Zertifikate für operative Systeme, langlebige für Root‑ und Trust‑Anker.
  • Keine Wildcards, keine impliziten Vertrauensketten.
  • Dokumentierte Renewal‑Rituale: deterministisch, reproduzierbar, signiert.

Trust Anchors

  • Root CA als einziges langfristiges Vertrauenselement, offline gehalten.
  • Intermediate CA als operativer Trust Anchor für Updates, Kernel, Ports und Geräte‑Onboarding.
  • Pinned Trust: Jede Installation enthält exakt definierte Trust‑Anker, keine dynamischen Updates.
  • Hash‑Verification: Trust Anchors werden über SHA256‑Fingerprints und Signaturen abgesichert.

Audit‑Trail

  • Vollständige Nachvollziehbarkeit aller PKI‑Ereignisse:
    • Zertifikatsausstellungen
    • Erneuerungen
    • Sperrungen
    • Signatur‑Events für Releases und Updates
  • Audit‑Logs sind unveränderlich, signiert und versioniert.
  • Jede Aktion ist einem Provisioner, einem Gerät oder einem Maintainer eindeutig zugeordnet.
  • Grundlage für Zero‑Trust‑Onboarding und generationales Vertrauen.

CRL / OCSP

  • CRL (Certificate Revocation List)
    • Minimalistisch, deterministisch generiert, signiert.
    • Enthält ausschließlich gesperrte Zertifikate, keine Metadaten‑Ballast.
    • Wird über den Update‑Server verteilt.
  • OCSP
    • Optional, für Systeme mit Online‑Verfügbarkeit.
    • Schlankes, auditierbares OCSP‑Responder‑Setup über Smallstep.
    • Keine Tracking‑Informationen, keine Telemetrie.

Wenn du möchtest, erweitere ich das zu einer vollständigen PKI‑Dokumentationsseite, inklusive Beispiel‑Konfigurationen, Ritual‑Anleitungen und Diagrammen für Root‑ und Intermediate‑Flows.