第 9 章 cert-manager Operator for Red Hat OpenShift
9.1. cert-manager Operator for Red Hat OpenShift overview
Red Hat OpenShift 的 cert-manager Operator 是一个集群范围的服务,可提供应用程序证书生命周期管理。Red Hat OpenShift 的 cert-manager Operator 允许您与外部证书颁发机构集成并提供证书置备、续订和停用。
9.1.1. 关于 Red Hat OpenShift 的 cert-manager Operator
cert-manager 项目在 Kubernetes API 中引入了证书颁发机构和证书作为资源类型,从而能够根据集群中工作的开发人员提供证书。Red Hat OpenShift 的 cert-manager Operator 提供了一种支持的方法,可将 cert-manager 集成到 OpenShift Container Platform 集群中。
Red Hat OpenShift 的 cert-manager Operator 提供了以下功能:
- 支持与外部证书颁发机构集成
- 管理证书的工具
- 开发人员能够自助使用证书
- 自动证书续订
对于 OpenShift Container Platform,不要同时使用 cert-manager Operator for Red Hat OpenShift 和社区版本的 cert-manager Operator。
另外,您不应该在一个 OpenShift 集群的多个命名空间中为 OpenShift Container Platform 安装 cert-manager Operator。
9.1.2. Red Hat OpenShift 签发者供应商的 cert-manager Operator
Red Hat OpenShift 的 cert-manager Operator 已使用以下签发者类型测试:
- 自动证书管理环境 (ACME)
- 证书颁发机构(CA)
- 自签名
- Vault
- Venafi
- Nokia NetGuard 证书管理器 (NCM)
- Google 云证书颁发机构服务 (Google CAS)
9.1.2.1. 测试签发者类型
下表概述了每个经过测试的签发者类型的测试覆盖:
| 签发者类型 | 测试状态 | 注 |
|---|---|---|
| ACME | 完全测试 | 使用标准 ACME 实现进行验证。 |
| CA | 完全测试 | 确保基本 CA 功能。 |
| 自签名 | 完全测试 | 确保基本自签名功能。 |
| Vault | 完全测试 | 由于基础架构访问限制,仅限于标准 Vault 设置。 |
| Venafi | 部分测试 | 受特定供应商的限制。 |
| NCM | 部分测试 | 受特定供应商的限制。 |
| Google CAS | 部分测试 | 与通用 CA 配置兼容。 |
OpenShift Container Platform 没有为 Red Hat OpenShift 供应商功能测试与第三方 cert-manager Operator 关联的所有因素。如需有关第三方支持的更多信息,请参阅 OpenShift Container Platform 第三方支持政策。
9.1.3. 证书请求方法
对于 Red Hat OpenShift,可以使用 cert-manager Operator 请求证书:
- 使用
cert-manager.io/CertificateRequest对象 -
使用此方法,服务开发人员会创建一个
CertificateRequest对象,其有效的issuerRef指向配置的签发者(由服务基础架构管理员配置)。服务基础架构管理员随后接受或拒绝证书请求。只有接受的证书请求才会创建对应的证书。 - 使用
cert-manager.io/Certificate对象 -
使用此方法时,服务开发人员使用有效的
issuerRef创建一个Certificate对象,并从指向证书对象的 secret 获取Certificate。
9.1.4. 为 Red Hat OpenShift 版本支持 cert-manager Operator
OpenShift Container Platform 4.16 支持以下 Red Hat OpenShift 的 cert-manager Operator 版本:
- cert-manager Operator for Red Hat OpenShift 1.13
9.1.5. 关于 Red Hat OpenShift 的 cert-manager Operator 的 FIPS 合规性
从版本 1.14.0 开始,Red Hat OpenShift 的 cert-manager Operator 专为 FIPS 合规性而设计。当在 FIPS 模式下的 OpenShift Container Platform 上运行时,它使用在 x86_64、ppc64le 和 s390X 架构上提交到 NIST 的 RHEL 加密库。有关 NIST 验证程序的更多信息,请参阅 Cryptographic 模块验证程序。有关为验证提交的 RHEL 加密库的每个版本的最新 NIST 状态,请参阅合规性活动和政府标准。
要启用 FIPS 模式,您必须在配置为以 FIPS 模式操作的 OpenShift Container Platform 集群上安装 cert-manager Operator。如需更多信息,请参阅"您是否需要集群的额外安全性?"
