Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

9.7.5. Google Cloud DNS の明示的な認証情報を使用した ACME 発行者の設定

cert-manager Operator for Red Hat OpenShift を使用して ACME 発行者を設定し、Google Cloud で明示的な認証情報を使用して DNS-01 チャレンジを解決できます。この手順では、Let’s Encrypt を ACME CA サーバーとして使用し、Google Cloud DNS を使用して DNS-01 チャレンジを解決する方法を示します。

前提条件

  • Google Cloud DNS に必要なロールを持つ Google Cloud サービスアカウントを設定した。詳細は、アップストリームの cert-manager ドキュメントの Google Cloud DNS を参照してください。

    注記

    Google Cloud で実行されていない OpenShift Container Platform クラスターでは、明示的な認証情報を使用して Google Cloud DNS を使用できます。

手順

  1. オプション:DNS-01 自己チェック用のネームサーバー設定をオーバーライドで指定します。

    この手順は、ターゲットのパブリックホストゾーンがクラスターのデフォルトのプライベートホストゾーンに重複する場合のみ、必要です。

    1. 次のコマンドを実行して、CertManager リソースを編集します。 

      $ oc edit certmanager cluster

    2. 次のオーバーライド引数を指定して、spec.controllerConfig セクションを追加します。 

      apiVersion: operator.openshift.io/v1alpha1
kind: CertManager
metadata:
  name: cluster
  ...
spec:
  ...
  controllerConfig:
    overrideArgs:
      - '--dns01-recursive-nameservers-only'
      - '--dns01-recursive-nameservers=1.1.1.1:53'

      ここでは、以下のようになります。

      --dns01-recursive-nameservers-only
      そのドメインに関連付けられている権威ネームサーバーを確認する代わりに、再帰的なネームサーバーを指定します。
      --dns01-recursive-nameservers=1.1.1.1:53
      DNS-01 自己チェックのためにクエリーを実行する <host>:<port> ネームサーバーのコンマ区切りリストを指定します。パブリックゾーンとプライベートゾーンの重複を避けるには、1.1.1.1:53 値を使用する必要があります。
    3. 変更を適用するためにファイルを保存します。

  2. オプション: 発行者の namespace を作成します。 

    $ oc new-project my-issuer-namespace

  3. 次のコマンドを実行して、Google Cloud 認証情報を保存するシークレットを作成します。 

    $ oc create secret generic clouddns-dns01-solver-svc-acct --from-file=service_account.json=<path/to/gcp_service_account.json> -n my-issuer-namespace

  4. 発行者を作成します。

    1. Issuer オブジェクトを定義する YAML ファイル (例: issuer.yaml) を作成します。 

      apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: <acme_dns01_clouddns_issuer>
  namespace: <issuer_namespace>
spec:
  acme:
    preferredChain: ""
    privateKeySecretRef:
      name: <secret_private_key>
    server: <server>
    solvers:
    - dns01:
        cloudDNS:
          project: <project_id>
          serviceAccountSecretRef:
            name: <secret>
            key: <service_account.json>

      ここでは、以下のようになります。

      <acme_dns01_clouddns_issuer>
      発行者の名前を指定します。
      < 発行者名スペース >
      発行者ネームスペースを指定します。
      < 秘密鍵 >
      ACME アカウントの秘密鍵を保存するシークレットの名前を指定します。
      <server>
      ACME サーバーの ディレクトリー エンドポイントにアクセスするための URL を指定します。この例では、Let’s Encrypt のステージング環境を使用します。
      <project_id>
      Cloud DNS ゾーンを含む Google Cloud プロジェクトの名前を指定します。
      < 秘密 >
      作成したシークレットの名前を指定します。
      <service_account.json>
      作成したシークレット内のキーを指定します。このシークレットには、Google Cloud のシークレットアクセスキーが格納されています。

    2. 次のコマンドを実行して、Issuer オブジェクトを作成します。 

      $ oc create -f issuer.yaml
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

Legal Notice

Theme

© 2026 Red Hatトップに戻る