ClusterIssuer и Issuer

ClusterIssuer и Issuer — ресурсы Kubernetes (cert-manager), представляющие центры сертификации, которые могут выпускать подлинные сертификаты по запросам на подпись.

Ресурс Область Раздел интерфейса
ClusterIssuer весь кластер АдминистрированиеClusterIssuers
Issuer один неймспейс БезопасностьIssuers (внутри неймспейса)

На соответствующих страницах можно создать, изменить, удалить или просмотреть ранее созданные объекты.

ClusterIssuer

Создание ClusterIssuer

  1. АдминистрированиеClusterIssuers+ Добавить ClusterIssuer.
  2. В открывшемся окне укажите:
    • Имя;
    • Спецификацию объекта — тип из выпадающего списка:
      • ACME;
      • Vault;
      • Удостоверяющий центр;
      • Самоподписной (SelfSigned).
    • при необходимости — лейблы.
Скриншот: выбор типа ClusterIssuer

Тип ClusterIssuer

Настройка ACME

Для настройки нужна учётная запись в ACME (Automated Certificate Management Environment).

Скриншот: настройка ACME

Настройка ACME

Заполните:

  • Сервер ACME — например, https://acme-v02.api.letsencrypt.org/directory;
  • Email, связанный с учётной записью ACME;
  • Пропуск проверки TLS — по умолчанию Нет.

Если пропустить проверку TLS, запросы к серверу ACME не будут подтверждены сертификатом TLS (разрешены небезопасные соединения). Включайте параметр только в средах разработки.

Обратите внимание! Если в кластер добавлен сертификат ACME, необходимо мониторить работу ACME-сервера. В случае сбоя на сервере кластеры с сертификатами ACME будут недоступны.

  • При установлении защищённого TLS-соединения укажите в поле CA Bundle пакет сертификатов центра сертификации (корневой и промежуточный в формате PEM) для проверки подлинности сервера ACME.

Обратите внимание! Данные файла CA Bundle должны содержать ----BEGIN CERTIFICATE---- и ----END CERTIFICATE----.

Если CA Bundle не указан, но проверка TLS-соединения включена, для проверки используется пакет системных сертификатов внутри контейнера.

В блоке Ключ учётной записи ACME:

  • введите имя и ключ Secret;
  • добавьте solvers: нажмите + рядом с Solvers и выберите тип HTTP01 или DNS01.

HTTP01

  1. Заполните поле ClassIngress и нажмите Добавить.
Скриншот: solver HTTP01

Solver HTTP01

Подходит, если:

  • провайдер не блокирует порт 80;
  • Ingress-контроллер доступен из интернета по порту 80;
  • не используются wildcard-сертификаты.

Укажите класс Ingress (ClassIngress) для решения challenge (например, Let’s Encrypt).

Посмотреть ClassIngress в кластере
kubectl get ingressclass -A

Если ClassIngress не указан, используется класс по умолчанию.

DNS01 / acmeDNS

  1. Заполните значение хоста. В AccountSecretRef укажите имя и ключ Secret, затем нажмите Добавить.
Скриншот: solver DNS01 / acmeDNS

Solver DNS01 acmeDNS

Подходит, если:

  • используются wildcard-сертификаты;
  • есть несколько веб-серверов.
Пример фрагмента манифеста
apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: example-issuer
spec:
  acme:
    solvers:
    - dns01:
        acmeDNS:
          host: https://acme.example.com
          accountSecretRef:
            name: acme-dns
            key: acmedns.json

DNS01 / RFC2136

  1. Заполните Nameserver и TsigAlgorithm. В TsigSecretSecretRef укажите имя и ключ Secret, затем нажмите Добавить.
Скриншот: solver DNS01 / RFC2136

Solver DNS01 RFC2136

Подходит, если есть:

  • DNS-сервер с поддержкой RFC2136;
  • доступ к ключам TSIG для авторизации обновлений DNS.
Пример фрагмента манифеста
rfc2136:
  nameserver: 1.2.3.4:53
  tsigKeyName: example-com-secret
  tsigAlgorithm: HMACSHA512
  tsigSecretSecretRef:
    name: tsig-secret
    key: tsig-secret-key
  • tsigKeyName — имя ключа TSIG (например, example-key);
  • tsigAlgorithm — алгоритм ключа TSIG (например, hmac-md5);
  • tsigSecretSecretRef.name — Secret с секретным ключом TSIG.

DNS01 / webhook

  1. Заполните GroupName, SolverName и Config для Cert-Manager, затем нажмите Добавить.
Скриншот: solver DNS01 / webhook

Solver DNS01 webhook

Пример фрагмента манифеста
apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: example-issuer
spec:
  acme:
    solvers:
    - dns01:
        webhook:
          groupName: $WEBHOOK_GROUP_NAME
          solverName: $WEBHOOK_SOLVER_NAME
          config:
            ...
            <webhook-specific-configuration>

Примеры манифестов

ClusterIssuer ACME (Let’s Encrypt, HTTP-01)

apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: letsencrypt-prod
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    email: admin@example.com
    privateKeySecretRef:
      name: letsencrypt-prod-account
    solvers:
    - http01:
        ingress:
          class: nginx

Готовый манифест можно загрузить через Импорт манифестов.

Настройка Vault

Для настройки нужна учётная запись в Vault.

Согласно официальной документации cert-manager для текущей версии рекомендуется ServiceAccountRef. Выберите ServiceAccount из выпадающего списка.

Скриншот: настройка Vault

ClusterIssuer Vault

ServiceAccount должен быть создан в неймспейсе cert-manager и иметь в неймспейсе cert-manager роль vault-issuer:

Права роли vault-issuer
rules:
  - apiGroups: ['']
    resources: ['serviceaccounts/token']
    resourceNames: ['vault-issuer']
    verbs: ['create']

После выбора ServiceAccount:

  • mountPath — путь монтирования Vault при аутентификации (например, /v1/auth/kubernetes);
  • Роль — роль пользователя на стороне Vault (например, my-app-1);
  • Path — путь к точке подписи PKI-backend Vault (например, my_pki_mount/sign/my-role-name);
  • Сервер — адрес Vault (например, https://vault.local);
  • CA Bundle (необязательно) — корневой и промежуточный сертификаты в PEM для проверки TLS к Vault.

Два способа указать CA Bundle:

  1. Файл — ввести содержимое CA Bundle. Обратите внимание! Данные должны содержать ----BEGIN CERTIFICATE---- и ----END CERTIFICATE----.
  2. Ключ к CA Bundle — ссылка на Secret в кластере: выберите Secret и ключ.

Если CA Bundle в ClusterIssuer не указан, для проверки TLS используется пакет сертификатов cert-manager.

Нажмите Сохранить.

Удостоверяющий центр — CA

CA ClusterIssuer настраивается с сертификатом и закрытым ключом CA в Secret. Перед созданием ClusterIssuer создайте Secret в неймспейсе cert-manager (раздел ХранилищеSecrets в неймспейсе cert-manager или через CLI), содержащий сертификат и ключ.

Обратите внимание!

  • Secret должен находиться в неймспейсе cert-manager.
  • Имена полей в Secret строго tls.crt и tls.key — по ним cert-manager получает сертификат и ключ CA.
  • Значения в tls.crt и tls.key должны быть в base64.
Пример Secret
apiVersion: v1
kind: Secret
metadata:
  name: secretname
  namespace: cert-manager
data:
  tls.crt: <base64>
  tls.key: <base64>
Скриншот: Secret для CA

Secret CA ClusterIssuer

Для ClusterIssuer типа Удостоверяющий центр:

Скриншот: ClusterIssuer CA

ClusterIssuer CA

  • укажите имя Secret с сертификатом и ключом CA;
  • при необходимости — URL-адреса OCSP-серверов (ocspServers); если адреса не указаны, сертификат выпускается без OCSP-сервера (пример: http://ocsp.int-x3.example.org);
  • при необходимости — URL-адреса сертификатов (issuingCertificateURLs) — только HTTP (пример: http://ca.domain.com/ca.crt);
  • при необходимости — точки распространения CRL (crlDistributionPoints) для проверки отзыва (пример: http://example.com).

Самоподписной — SelfSigned

SelfSigned ClusterIssuer используется для быстрого защищённого соединения без подтверждения внешним CA.

При типе Самоподписной при необходимости добавьте точки распространения CRL (CDP) (crlDistributionPoints) — URL списка отозванных сертификатов (CRL).

Скриншот: ClusterIssuer SelfSigned

ClusterIssuer SelfSigned

Нажмите Сохранить.

Просмотр и изменение ClusterIssuer

Созданные ClusterIssuer отображаются списком на странице ClusterIssuers в разделе Администрирование кластера.

  • Просмотр — нажмите имя в списке.
  • Изменение — обновите спецификацию на вкладке объекта и нажмите Сохранить.
  • Манифест (YAML) — вкладка Манифест: после правок выполните проверку; результат — в правой части экрана. Раскройте блок результата, чтобы увидеть полный манифест. Если валидация формата не пройдена, проверка манифеста недоступна. Несохранённые изменения не применяются.

Удаление ClusterIssuer:

  • на странице ClusterIssuers — иконка удаления в строке объекта;
  • на странице просмотра — кнопка Удалить на вкладке ClusterIssuer;
  • на вкладке Манифест — иконка удаления.

Issuer

Issuer — ресурс Kubernetes (cert-manager), центр сертификации в пределах одного неймспейса; выпускает подлинные сертификаты по запросам на подпись.

На странице Issuers в неймспейсе можно создать, изменить, удалить или просмотреть ранее созданные Issuer.

Создание Issuer

  1. В нужном неймспейсе: БезопасностьIssuers+ Добавить Issuer.
  2. Укажите:
    • Имя Issuer;
    • тип в спецификации: ACME, Vault, Удостоверяющий центр (CA), Самоподписной (SelfSigned);
    • при необходимости — лейблы.
Скриншот: выбор типа Issuer

Тип Issuer

Настройка ACME

Для настройки нужна учётная запись в ACME (Automated Certificate Management Environment).

Скриншот: настройка ACME

Настройка ACME Issuer

Заполните:

  • Сервер ACME — например, https://acme-v02.api.letsencrypt.org/directory;
  • Email, связанный с учётной записью ACME;
  • Пропуск проверки TLS — по умолчанию Нет.

Если пропустить проверку TLS, запросы к серверу ACME не будут подтверждены сертификатом TLS (разрешены небезопасные соединения). Включайте параметр только в средах разработки.

Обратите внимание! Если в кластере установлен сертификат ACME, необходимо мониторить работу ACME-сервера. В случае сбоя на сервере кластеры с сертификатами ACME будут недоступны.

  • При установлении защищённого TLS-соединения укажите в поле CA Bundle пакет сертификатов центра сертификации (корневой и промежуточный в формате PEM) для проверки подлинности сервера ACME.

Обратите внимание! Данные файла CA Bundle должны содержать ----BEGIN CERTIFICATE---- и ----END CERTIFICATE----.

Если CA Bundle не указан, но проверка TLS-соединения включена, для проверки используется пакет системных сертификатов внутри контейнера.

В блоке Ключ учётной записи ACME:

  • введите имя и ключ Secret;
  • добавьте solvers: нажмите + рядом с Solvers и выберите тип HTTP01 или DNS01.

HTTP01

  1. Заполните поле ClassIngress и нажмите Добавить.
Скриншот: solver HTTP01

Solver HTTP01

Подходит, если:

  • провайдер не блокирует порт 80;
  • Ingress-контроллер доступен из интернета по порту 80;
  • не используются wildcard-сертификаты.

Укажите класс Ingress (ClassIngress) для решения challenge (например, Let’s Encrypt).

Посмотреть ClassIngress в кластере
kubectl get ingressclass -A

Если ClassIngress не указан, используется класс по умолчанию.

DNS01 / acmeDNS

  1. Заполните значение хоста. В AccountSecretRef укажите имя и ключ Secret, затем нажмите Добавить.
Скриншот: solver DNS01 / acmeDNS

Solver DNS01 acmeDNS

Подходит, если:

  • используются wildcard-сертификаты;
  • есть несколько веб-серверов.
Пример фрагмента манифеста
apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: example-issuer
spec:
  acme:
    solvers:
    - dns01:
        acmeDNS:
          host: https://acme.example.com
          accountSecretRef:
            name: acme-dns
            key: acmedns.json

DNS01 / RFC2136

  1. Заполните Nameserver и TsigAlgorithm. В TsigSecretSecretRef укажите имя и ключ Secret, затем нажмите Добавить.
Скриншот: solver DNS01 / RFC2136

Solver DNS01 RFC2136

Подходит, если есть:

  • DNS-сервер с поддержкой RFC2136;
  • доступ к ключам TSIG для авторизации обновлений DNS.
Пример фрагмента манифеста
rfc2136:
  nameserver: 1.2.3.4:53
  tsigKeyName: example-com-secret
  tsigAlgorithm: HMACSHA512
  tsigSecretSecretRef:
    name: tsig-secret
    key: tsig-secret-key
  • tsigKeyName — имя ключа TSIG (например, example-key);
  • tsigAlgorithm — алгоритм ключа TSIG (например, hmac-md5);
  • tsigSecretSecretRef.name — Secret с секретным ключом TSIG.

DNS01 / webhook

  1. Заполните GroupName, SolverName и Config для Cert-Manager, затем нажмите Добавить.
Скриншот: solver DNS01 / webhook

Solver DNS01 webhook

Пример фрагмента манифеста
apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: example-issuer
spec:
  acme:
    solvers:
    - dns01:
        webhook:
          groupName: $WEBHOOK_GROUP_NAME
          solverName: $WEBHOOK_SOLVER_NAME
          config:
            ...
            <webhook-specific-configuration>

Настройка Vault

Для настройки нужна учётная запись в Vault.

Согласно официальной документации cert-manager для текущей версии рекомендуется ServiceAccountRef. Выберите ServiceAccount из выпадающего списка.

Скриншот: Vault

Issuer Vault

ServiceAccount должен быть создан в том же неймспейсе, что и Issuer, и иметь в этом неймспейсе роль vault-issuer с правами:

Права роли vault-issuer
rules:
  - apiGroups: ['']
    resources: ['serviceaccounts/token']
    resourceNames: ['vault-issuer']
    verbs: ['create']

Обратите внимание! Создание Role и ClusterRole из интерфейса платформы недоступно. Скачайте kubeconfig кластера, создайте роль через командную строку и примените манифест. После этого роль появится в списке при создании ServiceAccount.

После выбора ServiceAccount:

  • mountPath — путь монтирования Vault при аутентификации (например, /v1/auth/kubernetes);
  • Роль — роль пользователя на стороне Vault (например, my-app-1);
  • Path — путь к точке подписи PKI-backend Vault (например, my_pki_mount/sign/my-role-name);
  • Сервер — адрес Vault (например, https://vault.local);
  • CA Bundle (необязательно) — корневой и промежуточный сертификаты в PEM для проверки TLS к Vault.

Два способа указать CA Bundle:

  1. Файл — ввести содержимое CA Bundle. Обратите внимание! Данные должны содержать ----BEGIN CERTIFICATE---- и ----END CERTIFICATE----.
  2. Ключ к CA Bundle — ссылка на Secret в кластере: выберите Secret и ключ.

Если CA Bundle в Issuer не указан, для проверки TLS используется пакет сертификатов cert-manager.

Удостоверяющий центр — CA

CA Issuer настраивается с сертификатом и закрытым ключом центра сертификации в Secret. Перед созданием Issuer создайте Secret в том же неймспейсе (ХранилищеSecrets в этом неймспейсе), содержащий сертификат и ключ.

Обратите внимание!

  • Secret и Issuer должны быть в одном неймспейсе.
  • Имена полей в Secret строго tls.crt и tls.key — по ним cert-manager получает сертификат и ключ CA.
  • Значения в tls.crt и tls.key должны быть в base64.
Пример Secret (неймспейс Issuer)
apiVersion: v1
kind: Secret
metadata:
  name: secretname
  namespace: namespacename
data:
  tls.crt: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSUMrVENDQWVHZ0F3SUJBZ0lKQUtQR3dLRGwvNUhuTUEwR0NTcUdTSWIzRFFFQkN3VUFNQk14RVRBUEJnTlYKQkFNTUNHcHZjMmgyWVc1c01CNFhEVEU1TURneU1qRTJNRFUxT0ZvWERUSTVNRGd4T1RFMk1EVTFPRm93RXpFUgpNQThHQTFVRUF3d0lhbTl6YUhaaGJtd3dnZ0VpTUEwR0NTcUdTSWIzRFFFQkFRVUFBNElCRHdBd2dnRUtBb0lCCkFRQ3doU0IvcVc2L2tMYjJ6cHUrRUp2RDl3SEZhcStRQS8wSkgvTGxseW83ekFGeCtISHErQ09BYmsrQzhCNHQKL0hVRXNuczVSTDA5Q1orWDRqNnBiSkZkS2R1UHhYdTVaVllua3hZcFVEVTd5ZzdPU0tTWnpUbklaNzIzc01zMApSNmpZbi9Ecmo0eFhNSkVmSFVEcVllU1dsWnIzcWkxRUZhMGM3ZlZEeEgrNHh0WnROTkZPakg3YzZEL3ZXa0lnCldRVXhpd3Vzc2U2S01PV2pEbnYvNFZyamVsMlFnVVlVYkhDeWVaSG1jdGkrSzBMV0Nmby9SZzZQdWx3cmJEa2gKam1PZ1l0MzBwZGhYME9aa0F1a2xmVURIZnA4YmpiQ29JMnRhWUFCQTZBS2pLc08zNUxBRVU3OUNMMW1MVkh1WgpBQ0k1VWppamEzVlBXVkhTd21KUEp5dXhBZ01CQUFHalVEQk9NQjBHQTFVZERnUVdCQlFtbDVkVEFaaXhGS2hqCjkzd3VjUldoYW8vdFFqQWZCZ05WSFNNRUdEQVdnQlFtbDVkVEFaaXhGS2hqOTN3dWNSV2hhby90UWpBTUJnTlYKSFJNRUJUQURBUUgvTUEwR0NTcUdTSWIzRFFFQkN3VUFBNElCQVFCK2tsa1JOSlVLQkxYOHlZa3l1VTJSSGNCdgpHaG1tRGpKSXNPSkhac29ZWGRMbEcxcFpORmpqUGFPTDh2aDQ0Vmw5OFJoRVpCSHNMVDFLTWJwMXN1NkNxajByClVHMWtwUkJlZitJT01UNE1VN3ZSSUNpN1VPbFJMcDFXcDBGOGxhM2hQT2NSYjJ5T2ZGcVhYeVpXWGY0dDBCNDUKdEhpK1pDTkhCOUZ4alNSeWNiR1lWaytUS3B2aEphU1lOTUdKM2R4REthUDcrRHgzWGNLNnNBbklBa2h5SThhagpOVSttdzgvdG1Sa1A0SW4va1hBUitSaTBxVW1Iai92d3ZuazRLbTdaVXkxRllIOERNZVM1TmtzbisvdUhsUnhSClY3RG5uMDM5VFJtZ0tiQXFONzJnS05MbzVjWit5L1lxREFZSFlybjk4U1FUOUpEZ3RJL0svQVRwVzhkWAotLS0tLUVORCBDRVJUSUZJQ0FURS0tLS0tCg==
  tls.key: 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
Скриншот: Secret для CA

Secret CA Issuer

Для Issuer типа Удостоверяющий центр:

Скриншот: Issuer CA

Issuer CA

  • укажите имя Secret с сертификатом и ключом CA;
  • при необходимости — URL-адреса OCSP-серверов (ocspServers); если адреса не указаны, сертификат выпускается без OCSP-сервера (пример: http://ocsp.int-x3.example.org);
  • при необходимости — URL-адреса сертификатов (issuingCertificateURLs) — только HTTP (пример: http://ca.domain.com/ca.crt);
  • при необходимости — точки распространения CRL (crlDistributionPoints) для проверки отзыва (пример: http://example.com).

Самоподписной — SelfSigned

SelfSigned Issuer используется для быстрого защищённого соединения без подтверждения внешним центром сертификации.

При типе Самоподписной при необходимости добавьте точки распространения CRL (CDP) (crlDistributionPoints) — URL списка отозванных сертификатов (CRL); по каждому адресу (например, http://example.com) можно проверить действительность выданных сертификатов.

Скриншот: Issuer SelfSigned

Issuer SelfSigned

После завершения настройки Issuer нажмите Сохранить.

Изменение и удаление Issuer

  • Изменение — на странице просмотра Issuer: вкладка Issuer (спецификация), вкладка Лейблы (лейблы). Сохраните изменения.
  • Манифест — вкладка Манифест: проверка, результат справа; при ошибке валидации формата проверка недоступна; несохранённые данные не применяются.

Удаление Issuer:

  • на странице Issuers — иконка удаления в строке;
  • на вкладке Issuer — кнопка Удалить;
  • на вкладке Манифест — иконка удаления.