Vollständiges PKI-System für das VCC-Projekt mit Certificate Authority, Code-Signing und Service-Zertifikaten.
Zweck: Zentrale PKI-Infrastruktur für sichere Kommunikation und Code-Signierung
Technologie-Stack: Python, FastAPI, cryptography, SQLite, Docker
Vor dem ersten Start:
-
Konfigurieren Sie sichere Passwörter:
cp .env.example .env # Bearbeiten Sie .env mit starken, einzigartigen Passwörtern chmod 600 .env -
Production-Deployment:
- Verwenden Sie einen Secret-Management-Service (Azure Key Vault, AWS Secrets Manager, HashiCorp Vault)
- Aktivieren Sie mTLS für Service-to-Service Kommunikation
- Setzen Sie restriktive Dateiberechtigungen (chmod 400 für Keys)
- Lesen Sie die Production Deployment Checklist
-
Security Check vor Deployment:
./scripts/security-check.sh
Weitere Details: SECURITY.md
- Certificate Authority (CA) Management
- Service-Zertifikate für VCC-Services
- Code-Signing für Python-Dateien
- Pre-Commit Hooks für automatische Signierung
- PKI Admin CLI
- GUI für Bulk-Signing
- Database-basiertes Zertifikats-Tracking
# Alle Services starten
.\scripts\start_all.ps1
# Nur PKI-Server
.\scripts\start_pki_server.ps1
# Server-Status prüfen
.\scripts\status_server.ps1# PKI Admin CLI starten
python pki_admin_cli.py
# Zertifikat erstellen
vcc-pki create-cert --service=my-service# Einzelne Datei signieren
python examples/simple_signing.py
# Bulk-Signing GUI
python scripts/bulk_sign_gui.py- VCC-PKI Weiterentwicklungsstrategie - Umfassende Entwicklungsstrategie 2026-2028
- Future Technical Architecture - Detaillierte technische Architektur-Spezifikationen
- ROADMAP.md - Entwicklungsplan
- PROJECT_STATUS.md - Aktueller Projektstatus
- IMPLEMENTATION_ROADMAP.md - Detaillierte Implementierungs-Roadmap
- DEVELOPMENT.md - Entwickler-Guide
- CONTRIBUTING.md - Beitragsrichtlinien
- INTEGRATION_QUICK_START.md - Schnellstart für Service-Integration
- SERVICE_INTEGRATION_TODO.md - Service-Integrations-Checkliste
- docs/ - Detaillierte Dokumentation
Root CA
└── Intermediate CA
├── Service Certificates
│ ├── covina-backend
│ ├── covina-ingestion
│ ├── veritas-backend
│ └── pki-server
└── Code Signing Certificates
- FastAPI-basierter REST-API Server
- Port: 8443 (HTTPS)
- Datenbank: SQLite
- Root CA und Intermediate CA
- Zertifikatserstellung und -verwaltung
- Service-spezifische Zertifikate
- Automatische Erneuerung
- Python-Code-Signierung
- Batch-Signierung
- Pre-Commit Hook Integration
Teil des VCC-Projekts
Private Repository - Alle Rechte vorbehalten
makr-code - GitHub
VCC-PKI entwickelt sich zu einer Enterprise-Grade PKI-Infrastruktur mit:
- ✅ Digitale Souveränität - On-Premise-Betrieb, keine Vendor-Abhängigkeiten
- ✅ Vollautomatisierung - 100% automatisches Certificate Lifecycle Management
- ✅ Multi-Organization Support - Skalierbar für Brandenburg + Partner-Verwaltungen
- ✅ On-Premise Kubernetes - Kubernetes-ready für eigene Infrastruktur
- ✅ HSM-Integration - Hardware-basierte Schlüsselsicherheit (on-premise)
- ✅ Compliance-Excellence - DSGVO, EU AI Act, BSI Standards
- ✅ Zero-Trust Architecture - mTLS für alle VCC-Services
Mehr Details in der Weiterentwicklungsstrategie.
- Niemals Passwörter hardcodieren oder commiten
- Immer private Schlüssel verschlüsseln (minimum 16-Zeichen Passwort)
- Immer restriktive Dateiberechtigungen setzen (chmod 400 für Keys)
- In Production: Secret Management System verwenden (Azure Key Vault, AWS Secrets Manager, HashiCorp Vault)
- mTLS für alle Service-to-Service Kommunikation aktivieren
# Vor jedem Deployment ausführen
./scripts/security-check.sh- Minimum 16 Zeichen
- Mix aus Groß-/Kleinbuchstaben, Zahlen, Sonderzeichen
- Unterschiedliche Passwörter für Dev, Staging, Production
- Rotation alle 90 Tage
- DSGVO: Datenschutz-konform
- BSI TR-02102: Kryptografische Verfahren
- CA/Browser Forum: Baseline Requirements
Vollständige Sicherheitsdokumentation: SECURITY.md
Siehe CHANGELOG.md für alle Änderungen und Versionshinweise.
Letzte Aktualisierung: 16.12.2025