第 8 章 cert-manager Operator for Red Hat OpenShift
8.1. cert-manager Operator for Red Hat OpenShift overview
Red Hat OpenShift 的 cert-manager Operator 是一个集群范围的服务,可提供应用程序证书生命周期管理。Red Hat OpenShift 的 cert-manager Operator 允许您与外部证书颁发机构集成并提供证书置备、续订和停用。
8.1.1. 关于 Red Hat OpenShift 的 cert-manager Operator
cert-manager 项目在 Kubernetes API 中引入了证书颁发机构和证书作为资源类型,从而能够根据集群中工作的开发人员提供证书。Red Hat OpenShift 的 cert-manager Operator 提供了一种支持的方法,可将 cert-manager 集成到 OpenShift Container Platform 集群中。
Red Hat OpenShift 的 cert-manager Operator 提供了以下功能:
- 支持与外部证书颁发机构集成
- 管理证书的工具
- 开发人员能够自助使用证书
- 自动证书续订
对于 OpenShift Container Platform,不要同时使用 cert-manager Operator for Red Hat OpenShift 和社区版本的 cert-manager Operator。
另外,您不应该在一个 OpenShift 集群的多个命名空间中为 OpenShift Container Platform 安装 cert-manager Operator。
8.1.2. 支持的签发者类型
Red Hat OpenShift 的 cert-manager Operator 支持以下签发者类型:
8.1.3. 证书请求方法
对于 Red Hat OpenShift,可以使用 cert-manager Operator 请求证书:
- 使用
cert-manager.io/CertificateRequest对象 -
使用此方法,服务开发人员会创建一个
CertificateRequest对象,其有效的issuerRef指向配置的签发者(由服务基础架构管理员配置)。服务基础架构管理员随后接受或拒绝证书请求。只有接受的证书请求才会创建对应的证书。 - 使用
cert-manager.io/Certificate对象 -
使用此方法时,服务开发人员使用有效的
issuerRef创建一个Certificate对象,并从指向证书对象的 secret 获取Certificate。
