ホーム
製品
OpenShift Container Platform
4.20
Security and compliance
9.12. トラストマネージャーオペランドを使用して証明書を配布する

9.12. トラストマネージャーオペランドを使用して証明書を配布する

トラストマネージャーオペランドを使用すると、OpenShift Container Platform クラスター全体への認証局 (CA) 証明書の配布が簡素化されます。管理者として、クラスターの要件に応じてオペランドを設定し、トラストバンドルを効率的に管理できます。

重要

トラストマネージャーを使用した証明書の配布は、テクノロジープレビュー機能です。テクノロジープレビュー機能は、Red Hat 製品のサービスレベルアグリーメント (SLA) の対象外であり、機能的に完全ではないことがあります。Red Hat は、実稼働環境でこれらを使用することを推奨していません。テクノロジープレビュー機能は、最新の製品機能をいち早く提供して、開発段階で機能のテストを行い、フィードバックを提供していただくことを目的としています。

Red Hat のテクノロジープレビュー機能のサポート範囲に関する詳細は、テクノロジープレビュー機能のサポート範囲を参照してください。

トラストマネージャーオペランドには、以下の利点があります。

クラスター全体への CA 証明書の配布は、Day 2 オペレーションとして実施します。
ConfigMap、Secrets、インラインデータ、デフォルト CA など、複数のソースからの証明書を単一のトラストバンドルに統合します。
基となるソース証明書が変更されるたびに、対象オブジェクトが自動的に更新されます。
ConfigMap オブジェクトではなく、シークレットを明示的に必要とするアプリケーション向けに、シークレットオブジェクトとしてトラストバンドルを作成する。
クラスターのデフォルトの信頼できる認証局 (CA) バンドルとの自動統合により、手動設定は不要です。

9.12.1. トラストマネージャーオペランドのインストール
リンクのコピー

トラストマネージャーオペランドをインストールすると、クラスター名前空間全体にトラストバンドルを自動的に配布できるようになります。トラストマネージャーオペランドはデフォルトではインストールされません。

重要

Red Hat のテクノロジープレビュー機能のサポート範囲に関する詳細は、テクノロジープレビュー機能のサポート範囲を参照してください。

前提条件

クラスターで、TechPreviewNoUpgrade、DevPreviewNoUpgrade、CustomNoUpgrade、または OKD のいずれかの機能セットを有効にしています。機能セットを有効にする方法の詳細は、フィーチャーゲートを使用した機能の有効化を参照してください。
cluster-admin 権限でクラスターにアクセスできる。
Cert-manager Operator for Red Hat OpenShift をインストールしました。

手順

Operator 契約でトラストマネージャーアドオン機能を有効にするには、次のコマンドを実行します。

oc -n cert-manager-operator patch subscription cert-manager-operator \
  --type='merge' \
  -p '{"spec":{"config":{"env":[{"name":"UNSUPPORTED_ADDON_FEATURES","value":"TrustManager=true"}]}}}'

次の例に示すように、TrustManager カスタムリソース (CR) を定義する YAML ファイル (例: trust-manager.yaml) を作成します。

trust-manager.yaml の例

apiVersion: operator.openshift.io/v1alpha1
kind: TrustManager
metadata:
  name: cluster
spec:
  trustManagerConfig:
    logLevel: 2
    logFormat: "text"
    trustNamespace: "cert-manager"
    filterExpiredCertificates: "Enabled"
    secretTargets:
      policy: "Custom"
      authorizedSecrets:
        - "my-trust-bundle"
        - "app-ca-bundle"
    defaultCAPackage:
      policy: "Enabled"
    resources: {}
    affinity: {}
    tolerations: []
    nodeSelector: {}
  controllerConfig:
    labels:
      environment: "production"
      team: "platform"
    annotations:
      example.com/managed-by: "cert-manager-operator"

注記

クラスターごとに TrustManager CR のインスタンスを 1 つしか作成できないため、metadata.name フィールドは cluster に設定する必要があります。

以下のコマンドを実行して、TrustManager CR を作成します。
```
$ oc create -f trust-manager.yaml
```

検証

以下のコマンドを実行して、trust-manager オペランドが正常に動作していることを確認してください。

$ oc get TrustManager cluster -o jsonpath='{.status.conditions}' | jq

出力例

[
  {
    "lastTransitionTime": "2026-03-27T11:54:50Z",
    "message": "",
    "reason": "Ready",
    "status": "False",
    "type": "Degraded"
  },
  {
    "lastTransitionTime": "2026-03-27T11:54:50Z",
    "message": "reconciliation successful",
    "reason": "Ready",
    "status": "True",
    "type": "Ready"
  }
]

出力の メッセージ フィールドには リコンシリエーション successful という値が含まれている必要があります。

cert-manager 名前空間で trust-manager の デプロイメントが正常に実行されていることを確認してください。

$ oc get Deployments -l "app.kubernetes.io/name=cert-manager-trust-manager" -n cert-manager

出力例

NAME            READY   UP-TO-DATE   AVAILABLE   AGE
trust-manager   1/1     1            1           109s

以下のコマンドを実行して、Pod の状態が 実行中で あることを確認してください。

$ oc get pods -l "app.kubernetes.io/name=cert-manager-trust-manager" -n cert-manager

出力例

NAME                             READY   STATUS    RESTARTS   AGE
trust-manager-547bb59b4b-hd6mv    1/1     Running   0          24s

次のステップ

トラストバンドルの設定

9.12. トラストマネージャーオペランドを使用して証明書を配布する

9.12.1. トラストマネージャーオペランドのインストール
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

会社概要

多様性を受け入れるオープンソースの強化

Red Hat ドキュメントについて

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

9.12. トラストマネージャーオペランドを使用して証明書を配布する

9.12.1. トラストマネージャーオペランドのインストールリンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

会社概要

多様性を受け入れるオープンソースの強化

Red Hat ドキュメントについて

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

9.12.1. トラストマネージャーオペランドのインストール
リンクのコピー