Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

第9章 cert-manager Operator for Red Hat OpenShift

9.1. cert-manager Operator for Red Hat OpenShift の概要

cert-manager Operator for Red Hat OpenShift は、アプリケーション証明書のライフサイクル管理を提供するクラスター全体のサービスです。cert-manager Operator for Red Hat OpenShift を使用すると、外部の証明機関と統合し、証明書のプロビジョニング、更新、および廃止を行うことができます。

9.1.1. cert-manager Operator for Red Hat OpenShift について

cert-manager プロジェクトは、認証局と証明書を Kubernetes API のリソースタイプとして導入します。これにより、クラスター内で作業する開発者にオンデマンドで証明書を提供できます。cert-manager Operator for Red Hat OpenShift は、cert-manager を OpenShift Container Platform クラスターに統合するためのサポートされた方法を提供します。

cert-manager Operator for Red Hat OpenShift は、以下の機能を提供します。

  • 外部認証局との統合のサポート
  • 証明書を管理するためのツール
  • 開発者が証明書をセルフサービスする機能
  • 証明書の更新が自動で行われています。
重要

クラスター内で、Red Hat OpenShift for OpenShift Container Platform の cert-manager Operator とコミュニティーの cert-manager Operator の両方を同時に使用しないでください。

また、単一の OpenShift クラスター内の複数の namespace に Red Hat OpenShift for OpenShift Container Platform の cert-manager Operator をインストールしないでください。

9.1.2. cert-manager Operator for Red Hat OpenShift 発行者プロバイダー

cert-manager Operator for Red Hat OpenShift は、次の発行者タイプでテストされています。

9.1.2.1. 発行者タイプのテスト

次の表では、テストした各発行者タイプに対するテスト範囲を示しています。

発行者タイプテストステータス注記

ACME

完全にテスト済み

標準の ACME 実装で検証しました。

CA

完全にテスト済み

基本的な CA 機能を確認しました。

自己署名

完全にテスト済み

基本的な自己署名機能を確認しました。

Vault

完全にテスト済み

インフラストラクチャーのアクセス制約により、標準の Vault セットアップに制限されます。

Venafi

部分的にテスト済み

プロバイダー固有の制限が適用されます。

NCM

部分的にテスト済み

プロバイダー固有の制限が適用されます。

Google CAS

部分的にテスト済み

一般的な CA 設定と互換性があります。

注記

OpenShift Container Platform は、サードパーティーの cert-manager Operator for Red Hat OpenShift プロバイダー機能に関連する要素をすべてテストするわけではありません。サードパーティーのサポートの詳細は、OpenShift Container Platform サードパーティーサポートポリシー を参照してください。

9.1.3. 証明書のリクエスト方法

cert-manager Operator for Red Hat OpenShift を使用して証明書をリクエストするには、2 つの方法があります。

cert-manager.io/CertificateRequest オブジェクトの使用
このメソッドを使用すると、サービス開発者は、設定された発行者 (サービスインフラストラクチャー管理者によって設定された) を指す有効な issuerRef を使用して CertificateRequest オブジェクトを作成します。次に、サービスインフラストラクチャー管理者は、証明書リクエストを受け入れるか拒否します。受け入れられた証明書リクエストのみが、対応する証明書を作成します。
cert-manager.io/Certificate オブジェクトの使用
このメソッドを使用すると、サービス開発者は有効な issuerRef を使用して Certificate オブジェクトを作成し、Certificate オブジェクトを指しているシークレットから証明書を取得します。

9.1.4. cert-manager Operator for Red Hat OpenShift の FIPS 準拠について

cert-manager Operator for Red Hat OpenShift は、バージョン 1.14.0 以降で FIPS に準拠するよう設計されています。OpenShift Container Platform 上で FIPS モードで実行する場合、x86_64、ppc64le、および s390X アーキテクチャー上での FIPS 検証のために、NIST に送信された暗号化ライブラリーが使用されます。NIST 検証プログラムの詳細は、Cryptographic module validation program を参照してください。RHEL 暗号化ライブラリーの個別バージョンに関して検証用に提出された最新の NIST ステータスについては、Compliance activities and government standards を参照してください。

FIPS モードを有効にするには、FIPS モードで稼働するように設定された OpenShift Container Platform クラスター上に cert-manager Operator for Red Hat OpenShift をインストールする必要があります。詳細は、「クラスターに追加のセキュリティーが必要な場合」を参照してください。

9.1.5. 関連情報

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.