ClusterIssuer и Issuer
На этой странице
ClusterIssuer и Issuer — ресурсы Kubernetes (cert-manager), представляющие центры сертификации, которые могут выпускать подлинные сертификаты по запросам на подпись.
| Ресурс | Область | Раздел интерфейса |
|---|---|---|
| ClusterIssuer | весь кластер | Администрирование → ClusterIssuers |
| Issuer | один неймспейс | Безопасность → Issuers (внутри неймспейса) |
На соответствующих страницах можно создать, изменить, удалить или просмотреть ранее созданные объекты.
ClusterIssuer
Создание ClusterIssuer
- Администрирование → ClusterIssuers → + Добавить ClusterIssuer.
- В открывшемся окне укажите:
- Имя;
- Спецификацию объекта — тип из выпадающего списка:
- ACME;
- Vault;
- Удостоверяющий центр;
- Самоподписной (SelfSigned).
- при необходимости — лейблы.
Скриншот: выбор типа ClusterIssuer

Настройка ACME
Для настройки нужна учётная запись в ACME (Automated Certificate Management Environment).
Скриншот: настройка ACME

Заполните:
- Сервер ACME — например,
https://acme-v02.api.letsencrypt.org/directory; - Email, связанный с учётной записью ACME;
- Пропуск проверки TLS — по умолчанию Нет.
Если пропустить проверку TLS, запросы к серверу ACME не будут подтверждены сертификатом TLS (разрешены небезопасные соединения). Включайте параметр только в средах разработки.
Обратите внимание! Если в кластер добавлен сертификат ACME, необходимо мониторить работу ACME-сервера. В случае сбоя на сервере кластеры с сертификатами ACME будут недоступны.
- При установлении защищённого TLS-соединения укажите в поле CA Bundle пакет сертификатов центра сертификации (корневой и промежуточный в формате PEM) для проверки подлинности сервера ACME.
Обратите внимание! Данные файла CA Bundle должны содержать ----BEGIN CERTIFICATE---- и ----END CERTIFICATE----.
Если CA Bundle не указан, но проверка TLS-соединения включена, для проверки используется пакет системных сертификатов внутри контейнера.
В блоке Ключ учётной записи ACME:
- введите имя и ключ Secret;
- добавьте solvers: нажмите + рядом с Solvers и выберите тип HTTP01 или DNS01.
HTTP01
- Заполните поле ClassIngress и нажмите Добавить.
Скриншот: solver HTTP01

Подходит, если:
- провайдер не блокирует порт 80;
- Ingress-контроллер доступен из интернета по порту 80;
- не используются wildcard-сертификаты.
Укажите класс Ingress (ClassIngress) для решения challenge (например, Let’s Encrypt).
Посмотреть ClassIngress в кластере
kubectl get ingressclass -A
Если ClassIngress не указан, используется класс по умолчанию.
DNS01 / acmeDNS
- Заполните значение хоста. В AccountSecretRef укажите имя и ключ Secret, затем нажмите Добавить.
Скриншот: solver DNS01 / acmeDNS

Подходит, если:
- используются wildcard-сертификаты;
- есть несколько веб-серверов.
Пример фрагмента манифеста
apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
name: example-issuer
spec:
acme:
solvers:
- dns01:
acmeDNS:
host: https://acme.example.com
accountSecretRef:
name: acme-dns
key: acmedns.json
DNS01 / RFC2136
- Заполните Nameserver и TsigAlgorithm. В TsigSecretSecretRef укажите имя и ключ Secret, затем нажмите Добавить.
Скриншот: solver DNS01 / RFC2136

Подходит, если есть:
- DNS-сервер с поддержкой RFC2136;
- доступ к ключам TSIG для авторизации обновлений DNS.
Пример фрагмента манифеста
rfc2136:
nameserver: 1.2.3.4:53
tsigKeyName: example-com-secret
tsigAlgorithm: HMACSHA512
tsigSecretSecretRef:
name: tsig-secret
key: tsig-secret-key
- tsigKeyName — имя ключа TSIG (например,
example-key); - tsigAlgorithm — алгоритм ключа TSIG (например,
hmac-md5); - tsigSecretSecretRef.name — Secret с секретным ключом TSIG.
DNS01 / webhook
- Заполните GroupName, SolverName и Config для Cert-Manager, затем нажмите Добавить.
Скриншот: solver DNS01 / webhook

Пример фрагмента манифеста
apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
name: example-issuer
spec:
acme:
solvers:
- dns01:
webhook:
groupName: $WEBHOOK_GROUP_NAME
solverName: $WEBHOOK_SOLVER_NAME
config:
...
<webhook-specific-configuration>
Примеры манифестов
ClusterIssuer ACME (Let’s Encrypt, HTTP-01)
apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
name: letsencrypt-prod
spec:
acme:
server: https://acme-v02.api.letsencrypt.org/directory
email: admin@example.com
privateKeySecretRef:
name: letsencrypt-prod-account
solvers:
- http01:
ingress:
class: nginx
Готовый манифест можно загрузить через Импорт манифестов.
Настройка Vault
Для настройки нужна учётная запись в Vault.
Согласно официальной документации cert-manager для текущей версии рекомендуется ServiceAccountRef. Выберите ServiceAccount из выпадающего списка.
Скриншот: настройка Vault

ServiceAccount должен быть создан в неймспейсе cert-manager и иметь в неймспейсе cert-manager роль vault-issuer:
Права роли vault-issuer
rules:
- apiGroups: ['']
resources: ['serviceaccounts/token']
resourceNames: ['vault-issuer']
verbs: ['create']
После выбора ServiceAccount:
- mountPath — путь монтирования Vault при аутентификации (например,
/v1/auth/kubernetes); - Роль — роль пользователя на стороне Vault (например,
my-app-1); - Path — путь к точке подписи PKI-backend Vault (например,
my_pki_mount/sign/my-role-name); - Сервер — адрес Vault (например,
https://vault.local); - CA Bundle (необязательно) — корневой и промежуточный сертификаты в PEM для проверки TLS к Vault.
Два способа указать CA Bundle:
- Файл — ввести содержимое CA Bundle. Обратите внимание! Данные должны содержать
----BEGIN CERTIFICATE----и----END CERTIFICATE----. - Ключ к CA Bundle — ссылка на Secret в кластере: выберите Secret и ключ.
Если CA Bundle в ClusterIssuer не указан, для проверки TLS используется пакет сертификатов cert-manager.
Нажмите Сохранить.
Удостоверяющий центр — CA
CA ClusterIssuer настраивается с сертификатом и закрытым ключом CA в Secret. Перед созданием ClusterIssuer создайте Secret в неймспейсе cert-manager (раздел Хранилище → Secrets в неймспейсе cert-manager или через CLI), содержащий сертификат и ключ.
Обратите внимание!
- Secret должен находиться в неймспейсе
cert-manager. - Имена полей в Secret строго tls.crt и tls.key — по ним cert-manager получает сертификат и ключ CA.
- Значения в tls.crt и tls.key должны быть в base64.
Пример Secret
apiVersion: v1
kind: Secret
metadata:
name: secretname
namespace: cert-manager
data:
tls.crt: <base64>
tls.key: <base64>
Скриншот: Secret для CA

Для ClusterIssuer типа Удостоверяющий центр:
Скриншот: ClusterIssuer CA

- укажите имя Secret с сертификатом и ключом CA;
- при необходимости — URL-адреса OCSP-серверов (ocspServers); если адреса не указаны, сертификат выпускается без OCSP-сервера (пример:
http://ocsp.int-x3.example.org); - при необходимости — URL-адреса сертификатов (issuingCertificateURLs) — только HTTP (пример:
http://ca.domain.com/ca.crt); - при необходимости — точки распространения CRL (crlDistributionPoints) для проверки отзыва (пример:
http://example.com).
Самоподписной — SelfSigned
SelfSigned ClusterIssuer используется для быстрого защищённого соединения без подтверждения внешним CA.
При типе Самоподписной при необходимости добавьте точки распространения CRL (CDP) (crlDistributionPoints) — URL списка отозванных сертификатов (CRL).
Скриншот: ClusterIssuer SelfSigned

Нажмите Сохранить.
Просмотр и изменение ClusterIssuer
Созданные ClusterIssuer отображаются списком на странице ClusterIssuers в разделе Администрирование кластера.
- Просмотр — нажмите имя в списке.
- Изменение — обновите спецификацию на вкладке объекта и нажмите Сохранить.
- Манифест (YAML) — вкладка Манифест: после правок выполните проверку; результат — в правой части экрана. Раскройте блок результата, чтобы увидеть полный манифест. Если валидация формата не пройдена, проверка манифеста недоступна. Несохранённые изменения не применяются.
Удаление ClusterIssuer:
- на странице ClusterIssuers — иконка удаления в строке объекта;
- на странице просмотра — кнопка Удалить на вкладке ClusterIssuer;
- на вкладке Манифест — иконка удаления.
Issuer
Issuer — ресурс Kubernetes (cert-manager), центр сертификации в пределах одного неймспейса; выпускает подлинные сертификаты по запросам на подпись.
На странице Issuers в неймспейсе можно создать, изменить, удалить или просмотреть ранее созданные Issuer.
Создание Issuer
- В нужном неймспейсе: Безопасность → Issuers → + Добавить Issuer.
- Укажите:
- Имя Issuer;
- тип в спецификации: ACME, Vault, Удостоверяющий центр (CA), Самоподписной (SelfSigned);
- при необходимости — лейблы.
Скриншот: выбор типа Issuer

Настройка ACME
Для настройки нужна учётная запись в ACME (Automated Certificate Management Environment).
Скриншот: настройка ACME

Заполните:
- Сервер ACME — например,
https://acme-v02.api.letsencrypt.org/directory; - Email, связанный с учётной записью ACME;
- Пропуск проверки TLS — по умолчанию Нет.
Если пропустить проверку TLS, запросы к серверу ACME не будут подтверждены сертификатом TLS (разрешены небезопасные соединения). Включайте параметр только в средах разработки.
Обратите внимание! Если в кластере установлен сертификат ACME, необходимо мониторить работу ACME-сервера. В случае сбоя на сервере кластеры с сертификатами ACME будут недоступны.
- При установлении защищённого TLS-соединения укажите в поле CA Bundle пакет сертификатов центра сертификации (корневой и промежуточный в формате PEM) для проверки подлинности сервера ACME.
Обратите внимание! Данные файла CA Bundle должны содержать ----BEGIN CERTIFICATE---- и ----END CERTIFICATE----.
Если CA Bundle не указан, но проверка TLS-соединения включена, для проверки используется пакет системных сертификатов внутри контейнера.
В блоке Ключ учётной записи ACME:
- введите имя и ключ Secret;
- добавьте solvers: нажмите + рядом с Solvers и выберите тип HTTP01 или DNS01.
HTTP01
- Заполните поле ClassIngress и нажмите Добавить.
Скриншот: solver HTTP01

Подходит, если:
- провайдер не блокирует порт 80;
- Ingress-контроллер доступен из интернета по порту 80;
- не используются wildcard-сертификаты.
Укажите класс Ingress (ClassIngress) для решения challenge (например, Let’s Encrypt).
Посмотреть ClassIngress в кластере
kubectl get ingressclass -A
Если ClassIngress не указан, используется класс по умолчанию.
DNS01 / acmeDNS
- Заполните значение хоста. В AccountSecretRef укажите имя и ключ Secret, затем нажмите Добавить.
Скриншот: solver DNS01 / acmeDNS

Подходит, если:
- используются wildcard-сертификаты;
- есть несколько веб-серверов.
Пример фрагмента манифеста
apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
name: example-issuer
spec:
acme:
solvers:
- dns01:
acmeDNS:
host: https://acme.example.com
accountSecretRef:
name: acme-dns
key: acmedns.json
DNS01 / RFC2136
- Заполните Nameserver и TsigAlgorithm. В TsigSecretSecretRef укажите имя и ключ Secret, затем нажмите Добавить.
Скриншот: solver DNS01 / RFC2136

Подходит, если есть:
- DNS-сервер с поддержкой RFC2136;
- доступ к ключам TSIG для авторизации обновлений DNS.
Пример фрагмента манифеста
rfc2136:
nameserver: 1.2.3.4:53
tsigKeyName: example-com-secret
tsigAlgorithm: HMACSHA512
tsigSecretSecretRef:
name: tsig-secret
key: tsig-secret-key
- tsigKeyName — имя ключа TSIG (например,
example-key); - tsigAlgorithm — алгоритм ключа TSIG (например,
hmac-md5); - tsigSecretSecretRef.name — Secret с секретным ключом TSIG.
DNS01 / webhook
- Заполните GroupName, SolverName и Config для Cert-Manager, затем нажмите Добавить.
Скриншот: solver DNS01 / webhook

Пример фрагмента манифеста
apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
name: example-issuer
spec:
acme:
solvers:
- dns01:
webhook:
groupName: $WEBHOOK_GROUP_NAME
solverName: $WEBHOOK_SOLVER_NAME
config:
...
<webhook-specific-configuration>
Настройка Vault
Для настройки нужна учётная запись в Vault.
Согласно официальной документации cert-manager для текущей версии рекомендуется ServiceAccountRef. Выберите ServiceAccount из выпадающего списка.
Скриншот: Vault

ServiceAccount должен быть создан в том же неймспейсе, что и Issuer, и иметь в этом неймспейсе роль vault-issuer с правами:
Права роли vault-issuer
rules:
- apiGroups: ['']
resources: ['serviceaccounts/token']
resourceNames: ['vault-issuer']
verbs: ['create']
Обратите внимание! Создание Role и ClusterRole из интерфейса платформы недоступно. Скачайте kubeconfig кластера, создайте роль через командную строку и примените манифест. После этого роль появится в списке при создании ServiceAccount.
После выбора ServiceAccount:
- mountPath — путь монтирования Vault при аутентификации (например,
/v1/auth/kubernetes); - Роль — роль пользователя на стороне Vault (например,
my-app-1); - Path — путь к точке подписи PKI-backend Vault (например,
my_pki_mount/sign/my-role-name); - Сервер — адрес Vault (например,
https://vault.local); - CA Bundle (необязательно) — корневой и промежуточный сертификаты в PEM для проверки TLS к Vault.
Два способа указать CA Bundle:
- Файл — ввести содержимое CA Bundle. Обратите внимание! Данные должны содержать
----BEGIN CERTIFICATE----и----END CERTIFICATE----. - Ключ к CA Bundle — ссылка на Secret в кластере: выберите Secret и ключ.
Если CA Bundle в Issuer не указан, для проверки TLS используется пакет сертификатов cert-manager.
Удостоверяющий центр — CA
CA Issuer настраивается с сертификатом и закрытым ключом центра сертификации в Secret. Перед созданием Issuer создайте Secret в том же неймспейсе (Хранилище → Secrets в этом неймспейсе), содержащий сертификат и ключ.
Обратите внимание!
- Secret и Issuer должны быть в одном неймспейсе.
- Имена полей в Secret строго tls.crt и tls.key — по ним cert-manager получает сертификат и ключ CA.
- Значения в tls.crt и tls.key должны быть в base64.
Пример Secret (неймспейс Issuer)
apiVersion: v1
kind: Secret
metadata:
name: secretname
namespace: namespacename
data:
tls.crt: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSUMrVENDQWVHZ0F3SUJBZ0lKQUtQR3dLRGwvNUhuTUEwR0NTcUdTSWIzRFFFQkN3VUFNQk14RVRBUEJnTlYKQkFNTUNHcHZjMmgyWVc1c01CNFhEVEU1TURneU1qRTJNRFUxT0ZvWERUSTVNRGd4T1RFMk1EVTFPRm93RXpFUgpNQThHQTFVRUF3d0lhbTl6YUhaaGJtd3dnZ0VpTUEwR0NTcUdTSWIzRFFFQkFRVUFBNElCRHdBd2dnRUtBb0lCCkFRQ3doU0IvcVc2L2tMYjJ6cHUrRUp2RDl3SEZhcStRQS8wSkgvTGxseW83ekFGeCtISHErQ09BYmsrQzhCNHQKL0hVRXNuczVSTDA5Q1orWDRqNnBiSkZkS2R1UHhYdTVaVllua3hZcFVEVTd5ZzdPU0tTWnpUbklaNzIzc01zMApSNmpZbi9Ecmo0eFhNSkVmSFVEcVllU1dsWnIzcWkxRUZhMGM3ZlZEeEgrNHh0WnROTkZPakg3YzZEL3ZXa0lnCldRVXhpd3Vzc2U2S01PV2pEbnYvNFZyamVsMlFnVVlVYkhDeWVaSG1jdGkrSzBMV0Nmby9SZzZQdWx3cmJEa2gKam1PZ1l0MzBwZGhYME9aa0F1a2xmVURIZnA4YmpiQ29JMnRhWUFCQTZBS2pLc08zNUxBRVU3OUNMMW1MVkh1WgpBQ0k1VWppamEzVlBXVkhTd21KUEp5dXhBZ01CQUFHalVEQk9NQjBHQTFVZERnUVdCQlFtbDVkVEFaaXhGS2hqCjkzd3VjUldoYW8vdFFqQWZCZ05WSFNNRUdEQVdnQlFtbDVkVEFaaXhGS2hqOTN3dWNSV2hhby90UWpBTUJnTlYKSFJNRUJUQURBUUgvTUEwR0NTcUdTSWIzRFFFQkN3VUFBNElCQVFCK2tsa1JOSlVLQkxYOHlZa3l1VTJSSGNCdgpHaG1tRGpKSXNPSkhac29ZWGRMbEcxcFpORmpqUGFPTDh2aDQ0Vmw5OFJoRVpCSHNMVDFLTWJwMXN1NkNxajByClVHMWtwUkJlZitJT01UNE1VN3ZSSUNpN1VPbFJMcDFXcDBGOGxhM2hQT2NSYjJ5T2ZGcVhYeVpXWGY0dDBCNDUKdEhpK1pDTkhCOUZ4alNSeWNiR1lWaytUS3B2aEphU1lOTUdKM2R4REthUDcrRHgzWGNLNnNBbklBa2h5SThhagpOVSttdzgvdG1Sa1A0SW4va1hBUitSaTBxVW1Iai92d3ZuazRLbTdaVXkxRllIOERNZVM1TmtzbisvdUhsUnhSClY3RG5uMDM5VFJtZ0tiQXFONzJnS05MbzVjWit5L1lxREFZSFlybjk4U1FUOUpEZ3RJL0svQVRwVzhkWAotLS0tLUVORCBDRVJUSUZJQ0FURS0tLS0tCg==
tls.key: LS0tLS1CRUdJTiBSU0EgUFJJVkFURSBLRVktLS0tLQpNSUlFb3dJQkFBS0NBUUVBc0lVZ2Y2bHV2NUMyOXM2YnZoQ2J3L2NCeFdxdmtBUDlDUi95NVpjcU84d0JjZmh4CjZ2Z2pnRzVQZ3ZBZUxmeDFCTEo3T1VTOVBRbWZsK0krcVd5UlhTbmJqOFY3dVdWV0o1TVdLVkExTzhvT3praWsKbWMwNXlHZTl0N0RMTkVlbzJKL3c2NCtNVnpDUkh4MUE2bUhrbHBXYTk2b3RSQld0SE8zMVE4Ui91TWJXYlRUUgpUb3grM09nLzcxcENJRmtGTVlzTHJMSHVpakRsb3c1Ny8rRmE0M3Bka0lGR0ZHeHdzbm1SNW5MWXZpdEMxZ242ClAwWU9qN3BjSzJ3NUlZNWpvR0xkOUtYWVY5RG1aQUxwSlgxQXgzNmZHNDJ3cUNOcldtQUFRT2dDb3lyRHQrU3cKQkZPL1FpOVppMVI3bVFBaU9WSTRvMnQxVDFsUjBzSmlUeWNyc1FJREFRQUJBb0lCQUNFTkhET3JGdGg1a1RpUApJT3dxa2UvVVhSbUl5MHlNNHFFRndXWXBzcmUxa0FPMkFDWjl4YS96ZDZITnNlanNYMEM4NW9PbmtrTk9mUHBrClcxVS94Y3dLM1ZpRElwSnBIZ09VNzg1V2ZWRXZtU3dZdi9Fb1V3eHFHRVMvcnB5Z1drWU5WSC9XeGZGQlg3clMKc0dmeVltbXJvM09DQXEyLzNVVVFiUjcrT09md3kzSHdUdTBRdW5FSnBFbWU2RXdzdWIwZzhTTGp2cEpjSHZTbQpPQlNKSXJyL1RjcFRITjVPc1h1Vm5FTlVqV3BBUmRQT1NrRFZHbWtCbnkyaVZURElST3NGbmV1RUZ1NitXOWpqCmhlb1hNN2czbkE0NmlLenUzR0YwRWhLOFkzWjRmeE42NERkbWNBWnphaU1vMFJVaktWTFVqbVlQSEUxWWZVK3AKMkNYb3dNRUNnWUVBMTgyaU52UEkwVVlWaUh5blhKclNzd1YrcTlTRStvVi90U2ZSUUNGU2xsV0d3KzYyblRiVwpvNXpoL1RDQW9VTVNSbUFPZ0xKWU1LZUZ1SWdvTEoxN1pvWjN0U1czTlVtMmRpT0lPSHorcTQxQzM5MDRrUzM5CjkrYkFtVmtaSFA5VktLOEMraS9tek5mSkdHZEJadGIweWtTM2t3OUIxTHdnT3o3MDhFeXFSQ2tDZ1lFQTBXWlAKbzF2MThnV2tMK2FnUDFvOE13eDRPZlpTN3dKY3E0Z0xnUWhjYS9pSkttY0x0RFN4cUJHckJ4UVo0WTIyazlzdQpzTFVrNEJobGlVM29iUUJNaUdtMGtITHVBSEFRNmJvdWZBMUJwZjN2VFdHSkhSRjRMeFJsNzc2akw4UXI4VnpxClpURVBtY0R0T0hpYjdwb2I1Z2IzSDhiVGhYeUhmdGZxRW55alhFa0NnWUVBdk9DdDZZclZhTlQrWThjMmRFYk4Kd3dJOExBaUZtdjdkRjZFUjlCODJPWDRCeGR0WTJhRDFtNTNqN2NaVnpzNzFYOE1TN25FcDN1dkFqaElkbDI3KwpZbTJ1dUUyYVhIbDN5VTZ3RzBETFpUcnVIU0Z5TVI4ZithbHRTTXBDd0s1NXluSGpHVFp6dXpYaVBBbWpwRzdmCk1XbVRncE1IK3puc3UrNE9VNFBHUW9FQ2dZQWNqdUdKbS84YzlOd0JsR2lDZTJIK2JGTHhSTURteStHcm16QkcKZHNkMENqOWF3eGI3aXJ3MytjRGpoRUJMWExKcjA5YTRUdHdxbStrdElxenlRTG92V0l0QnNBcjVrRThlTVVBcAp0djBmRUZUVXJ0cXVWaldYNWlaSTNpMFBWS2ZSa1NSK2pJUmVLY3V3aWZKcVJpWkw1dU5KT0NxYzUvRHF3Yk93CnRjTHAwUUtCZ0VwdEw1SU10Sk5EQnBXbllmN0F5QVBhc0RWRE9aTEhNUGRpL2dvNitjSmdpUmtMYWt3eUpjV3IKU25QSG1TbFE0aEluNGMrNW1lbHBDWFdJaklLRCtjcTlxT2xmQmRtaWtYb2RVQ2pqWUJjNnVGQ1QrNWRkMWM4RwpiUkJQOUNtWk9GL0hOcHN0MEgxenhNd1crUHk5Q2VnR3hhZ0ZCekxzVW84N0xWR2h0VFFZCi0tLS0tRU5EIFJTQSBQUklWQVRFIEtFWS0tLS0tCg==
Скриншот: Secret для CA

Для Issuer типа Удостоверяющий центр:
Скриншот: Issuer CA

- укажите имя Secret с сертификатом и ключом CA;
- при необходимости — URL-адреса OCSP-серверов (ocspServers); если адреса не указаны, сертификат выпускается без OCSP-сервера (пример:
http://ocsp.int-x3.example.org); - при необходимости — URL-адреса сертификатов (issuingCertificateURLs) — только HTTP (пример:
http://ca.domain.com/ca.crt); - при необходимости — точки распространения CRL (crlDistributionPoints) для проверки отзыва (пример:
http://example.com).
Самоподписной — SelfSigned
SelfSigned Issuer используется для быстрого защищённого соединения без подтверждения внешним центром сертификации.
При типе Самоподписной при необходимости добавьте точки распространения CRL (CDP) (crlDistributionPoints) — URL списка отозванных сертификатов (CRL); по каждому адресу (например, http://example.com) можно проверить действительность выданных сертификатов.
Скриншот: Issuer SelfSigned

После завершения настройки Issuer нажмите Сохранить.
Изменение и удаление Issuer
- Изменение — на странице просмотра Issuer: вкладка Issuer (спецификация), вкладка Лейблы (лейблы). Сохраните изменения.
- Манифест — вкладка Манифест: проверка, результат справа; при ошибке валидации формата проверка недоступна; несохранённые данные не применяются.
Удаление Issuer:
- на странице Issuers — иконка удаления в строке;
- на вкладке Issuer — кнопка Удалить;
- на вкладке Манифест — иконка удаления.