11.12. Zero Trust Workload Identity Manager 的 SPIRE UpstreamAuthority 插件
要将 SPIFFE 运行时环境(SPIRE)与现有证书管理基础架构集成,并为每个人(SPIFFE)身份标准保留安全生产身份框架,请将 SPIRE 服务器配置为 UpstreamAuthority 插件。这些插件从外部证书颁发机构获取中间证书。
您可以将 SPIRE 服务器配置为使用以下 UpstreamAuthority 插件之一:
- cert-manager UpstreamAuthority 插件
- 将 SPIRE 与 cert-manager Operator 集成,以便在 Kubernetes 或 OpenShift Container Platform 集群中运行。Red Hat OpenShift 实例的 cert-manager Operator 可以使用各种签发者类型来为 SPIRE 中间 CA 提供签名证书。
- vault UpstreamAuthority 插件
- 将 SPIRE 与 HashiCorp Vault Public Key Infrastructure (PKI) secret 引擎集成。此插件支持许多 Vault 身份验证方法,并启用 SPIRE 来使用 Vault 的安全功能进行证书管理。
选择与您的证书管理基础架构匹配的插件。一次只能配置一个 UpstreamAuthority 插件。SpireServer CR 拒绝同时指定 certManager 和 vault 的配置。
11.12.1. 关于 cert-manager 上游颁发机构插件 复制链接链接已复制到粘贴板!
复制链接链接已复制到粘贴板!
Red Hat OpenShift 上游颁发机构插件的 cert-manager Operator 将 SPIRE Server 连接到 Red Hat OpenShift 的 cert-manager Operator 以进行自动中间证书置备。
配置此插件时,SPIRE 服务器在集群中创建 CertificateRequest 资源。配置的 Issuer 或 ClusterIssuer 为请求和证书签名。然后,SPIRE 服务器使用签名的中间证书来发布工作负载身份。
11.12.1.1. cert-manager 插件如何工作 复制链接链接已复制到粘贴板!
复制链接链接已复制到粘贴板!
- SPIRE 服务器为中间签名证书生成证书签名请求。
-
该插件会在配置的命名空间中创建一个
CertificateRequest。 -
CertificateRequest引用配置的 Issuer 或 ClusterIssuer。 - cert-manager Operator for Red Hat OpenShift 为请求签名。
-
SPIRE 服务器从
CertificateRequest检索签名证书和 CA 捆绑包。
11.12.1.2. 要求 复制链接链接已复制到粘贴板!
复制链接链接已复制到粘贴板!
- cert-manager Operator for Red Hat OpenShift
- 必须安装并运行 Red Hat OpenShift 的 cert-manager Operator。
- 发布者
-
您必须配置可签署中间 CA 证书的
Issuer或ClusterIssuer。 - 权限
-
在 OpenShift Container Platform 中,Zero Trust Workload Identity Manager 授予 SPIRE Server
ServiceAccount权限,以便在配置spec.upstreamAuthority.certManager时管理CertificateRequest资源。在配置SpireServerCR 前准备 Issuer 和 namespace。 - 支持的签发者
-
颁发者必须支持为中间 CA 签名证书请求。