Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

9.7.4. AWS でアンビエント認証情報を使用した ACME 発行者の設定

cert-manager Operator for Red Hat OpenShift を使用して、AWS 上のアンビエント認証情報を使用して DNS-01 チャレンジを解決する ACME 発行者を設定できます。この手順では、Let’s Encrypt を ACME CA サーバーとして使用し、Amazon Route 53 を使用して DNS-01 チャレンジを解決する方法を示します。

前提条件

  • クラスターが AWS Security Token Service (STS) を使用するように設定されている場合は、AWS Security Token Service クラスターの cert-manager Operator for Red Hat OpenShift のクラウド認証情報の設定 セクションの手順を実行した。
  • クラスターで AWS STS を使用しない場合は、AWS での cert-manager Operator for Red Hat OpenShift クラウド認証情報の設定 セクションの手順を実行した。

手順

  1. オプション:DNS-01 自己チェック用のネームサーバー設定をオーバーライドで指定します。

    この手順は、ターゲットのパブリックホストゾーンがクラスターのデフォルトのプライベートホストゾーンに重複する場合のみ、必要です。

    1. 次のコマンドを実行して、CertManager リソースを編集します。 

      $ oc edit certmanager cluster

    2. 次のオーバーライド引数を指定して、spec.controllerConfig セクションを追加します。 

      apiVersion: operator.openshift.io/v1alpha1
kind: CertManager
metadata:
  name: cluster
  ...
spec:
  ...
  controllerConfig:
    overrideArgs:
      - '--dns01-recursive-nameservers-only'
      - '--dns01-recursive-nameservers=1.1.1.1:53'

      ここでは、以下のようになります。

      --dns01-recursive-nameservers-only
      そのドメインに関連付けられている権威ネームサーバーを確認する代わりに、再帰的なネームサーバーを指定します。
      --dns01-recursive-nameservers=1.1.1.1:53
      DNS-01 自己チェックのためにクエリーを実行する <host>:<port> ネームサーバーのコンマ区切りリストを指定します。パブリックゾーンとプライベートゾーンの重複を避けるには、1.1.1.1:53 値を使用する必要があります。
    3. 変更を適用するためにファイルを保存します。

  2. オプション: 発行者の namespace を作成します。 

    $ oc new-project <issuer_namespace>

  3. CertManager リソースを変更して、--issuer-ambient-credentials 引数を追加します。 

    $ oc patch certmanager/cluster \
  --type=merge \
  -p='{"spec":{"controllerConfig":{"overrideArgs":["--issuer-ambient-credentials"]}}}'

  4. 発行者を作成します。

    1. Issuer オブジェクトを定義する YAML ファイルを作成します。

      issuer.yaml ファイルの例

      apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: <issuer_name>
  namespace: <issuer_namespace>
spec:
  acme:
    server: <server>
    email: "<email_address>"
    privateKeySecretRef:
      name: <secret_private_key>
    solvers:
    - dns01:
        route53:
          hostedZoneID: <hosted_zone_id>
          region: us-east-1

      ここでは、以下のようになります。

      < 発行者名 >
      発行者の名前を指定します。
      < 発行者名スペース >
      発行者用に作成した名前空間を指定します。
      <server>
      ACME サーバーの ディレクトリー エンドポイントにアクセスするための URL を指定します。この例では、Let’s Encrypt のステージング環境を使用します。
      < メールアドレス >
      メールアドレスを指定します。
      < 秘密鍵 >
      ACME アカウントの秘密鍵を保存するシークレットの名前を指定します。
      <hosted_zone_id>
      ホストゾーン ID を指定します。

    2. 次のコマンドを実行して、Issuer オブジェクトを作成します。 

      $ oc create -f issuer.yaml
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

Legal Notice

Theme

© 2026 Red Hatトップに戻る