11.12. Zero Trust Workload Identity Manager 的 SPIRE UpstreamAuthority 插件


要将 SPIFFE 运行时环境(SPIRE)与现有证书管理基础架构集成,并为每个人(SPIFFE)身份标准保留安全生产身份框架,请将 SPIRE 服务器配置为 UpstreamAuthority 插件。这些插件从外部证书颁发机构获取中间证书。

您可以将 SPIRE 服务器配置为使用以下 UpstreamAuthority 插件之一:

cert-manager UpstreamAuthority 插件
将 SPIRE 与 cert-manager Operator 集成,以便在 Kubernetes 或 OpenShift Container Platform 集群中运行。Red Hat OpenShift 实例的 cert-manager Operator 可以使用各种签发者类型来为 SPIRE 中间 CA 提供签名证书。
vault UpstreamAuthority 插件
将 SPIRE 与 HashiCorp Vault Public Key Infrastructure (PKI) secret 引擎集成。此插件支持许多 Vault 身份验证方法,并启用 SPIRE 来使用 Vault 的安全功能进行证书管理。

选择与您的证书管理基础架构匹配的插件。一次只能配置一个 UpstreamAuthority 插件。SpireServer CR 拒绝同时指定 certManagervault 的配置。

11.12.1. 关于 cert-manager 上游颁发机构插件

Red Hat OpenShift 上游颁发机构插件的 cert-manager Operator 将 SPIRE Server 连接到 Red Hat OpenShift 的 cert-manager Operator 以进行自动中间证书置备。

配置此插件时,SPIRE 服务器在集群中创建 CertificateRequest 资源。配置的 Issuer 或 ClusterIssuer 为请求和证书签名。然后,SPIRE 服务器使用签名的中间证书来发布工作负载身份。

11.12.1.1. cert-manager 插件如何工作

  1. SPIRE 服务器为中间签名证书生成证书签名请求。
  2. 该插件会在配置的命名空间中创建一个 CertificateRequest
  3. CertificateRequest 引用配置的 Issuer 或 ClusterIssuer。
  4. cert-manager Operator for Red Hat OpenShift 为请求签名。
  5. SPIRE 服务器从 CertificateRequest 检索签名证书和 CA 捆绑包。

11.12.1.2. 要求

cert-manager Operator for Red Hat OpenShift
必须安装并运行 Red Hat OpenShift 的 cert-manager Operator。
发布者
您必须配置可签署中间 CA 证书的 IssuerClusterIssuer
权限
在 OpenShift Container Platform 中,Zero Trust Workload Identity Manager 授予 SPIRE Server ServiceAccount 权限,以便在配置 spec.upstreamAuthority.certManager 时管理 CertificateRequest 资源。在配置 SpireServer CR 前准备 Issuer 和 namespace。
支持的签发者
颁发者 必须支持为中间 CA 签名证书请求。
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

关于红帽文档

Legal Notice

Theme

© 2026 Red Hat
返回顶部