コンテンツにスキップ

リソース定義@Cert Manager

はじめに

本サイトにつきまして、以下をご認識のほど宜しくお願いいたします。


01. セットアップ

チャートとして

$ helm repo add <チャートリポジトリ名> https://charts.jetstack.io

$ helm repo update

$ kubectl create namespace cert-manager

$ helm install <Helmリリース名> <チャートリポジトリ名>/cert-manager -n cert-manager --version <バージョンタグ>


02. Certificate

Certificateとは

認証局を使用して、秘密鍵と証明書署名要求による署名で、X.509のSSL証明書 (.crtファイル) を作成する。

証明書自体は、紐づくSecretに割り当てられる。


.spec.secretName

▼ secretNameとは

SSL証明書、SSL証明書とペアになる秘密鍵、を保持するSecretの名前を設定する。

apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: foo-certificate
  namespace: cert-manager
spec:
  secretName: foo-certificate-secret

▼ SSL証明書を使用する

Ingressの.spec.tls[*].secretNameキーにて、Secretを設定する。

これにより、IngressにSSL証明書を割り当てられる。

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  annotations:
    cert-manager.io/issuer: foo-issuer
  name: foo-ingress
  namespace: foo-namespace
spec:
  tls:
    - hosts:
        - example.com
      secretName: foo-certificate-secret


.spec.dnsNames

▼ dnsNamesとは

SSL証明書を取得したいドメインを設定する。

apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: foo-certificate
  namespace: cert-manager
spec:
  dnsNames:
    - example.com
    - foo.example.com


.spec.issuerRef

▼ issuerRefとは

SSL証明書を発行してもらう発行元認証局を設定する。

apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: foo-certificate
  namespace: cert-manager
spec:
  issuerRef:
    name: foo-issuer
    kind: Issuer
    group: cert-manager.io


03. CertificateRequest

CertificateRequestとは

秘密鍵から、証明書署名要求 (.csrファイル) を作成する。


.spec.request

▼ request

証明書署名要求 (.csrファイル) の作成に必要な秘密鍵を設定する。

apiVersion: cert-manager.io/v1
kind: CertificateRequest
metadata:
  name: foo-certificate-request
  namespace: cert-manager
spec:
  request: LS0tL ...


.spec.isCA

▼ isCAとは

秘密鍵と証明書署名要求 (.csrファイル) による署名で作成するSSL証明書が、中間CA証明書であるか否かを設定する。

apiVersion: cert-manager.io/v1
kind: CertificateRequest
metadata:
  name: foo-certificate-request
  namespace: cert-manager
spec:
  isCA: "false"


.spec.usages

▼ usagesとは

記入中...

apiVersion: cert-manager.io/v1
kind: CertificateRequest
metadata:
  name: foo-certificate-request
  namespace: cert-manager
spec:
  usages:
    - signing
    - digital signature
    - server auth


.spec.duration

▼ durationとは

SSL証明書の有効期限を設定する。

apiVersion: cert-manager.io/v1
kind: CertificateRequest
metadata:
  name: foo-certificate-request
  namespace: cert-manager
spec:
  duration: 2160h


.spec.issuerRef

▼ issuerRefとは

SSL証明書の作成に使用する認証局を設定する。

apiVersion: cert-manager.io/v1
kind: CertificateRequest
metadata:
  name: foo-certificate-request
  namespace: cert-manager
spec:
  issuerRef:
    name: foo-issuer
    kind: Issuer
    group: cert-manager.io


04. ClusterIssuer

ClusterIssuerとは

異なるNamespaceに対して横断的に証明書を発行する発行元認証局を作成する。


.spec.acme

▼ acmeとは

SSL証明書を自動的に更新するACMEプロトコルについて設定する。

▼ server

ACMEサーバーのURLを設定する。

apiVersion: cert-manager.io/v1alpha2
kind: ClusterIssuer
metadata:
  name: foo-cluster-issuer
  namespace: cert-manager
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory

▼ email

ACMEサーバーのユーザーの登録に使用したメールアドレスを設定する。

apiVersion: cert-manager.io/v1alpha2
kind: ClusterIssuer
metadata:
  name: foo-cluster-issuer
  namespace: cert-manager
spec:
  acme:
    email: example@gmail.com

▼ privateKeySecretRef

SSL証明書、SSL証明書とペアになる秘密鍵、を保持するSecretの名前を設定する。

apiVersion: cert-manager.io/v1alpha2
kind: ClusterIssuer
metadata:
  name: foo-cluster-issuer
  namespace: cert-manager
spec:
  acme:
    privateKeySecretRef:
      name: foo-certificate-secret

▼ solvers

名前解決の委譲先 (例:AWS Route53、Google CloudDNSなど) を設定する。

apiVersion: cert-manager.io/v1alpha2
kind: ClusterIssuer
metadata:
  name: foo-cluster-issuer
  namespace: cert-manager
spec:
  acme:
    solvers:
      - dns01:
          # AWS Route53を委譲先とする。
          route53:
            region: ap-northeast-1
            accessKeyID: <AWSアカウントID>
            secretAccessKeySecretRef:
              # Route53にリクエストを送信するための認証情報を保持するSecret
              name: foo-route53-credentials-secret
              # シークレットアクセスキー名
              key: foo-secret-access-key


05. Issuer

Issuerとは

同じNamespaceに対して証明書を発行する認証局を作成する。

同じNamespaceにあるKubernetesリソースに対して証明書を発行する。

もし複数のNamespaceに対して横断的に証明書を発行したい場合、ClusterIssuerを使用する必要がある。


.spec.ca

▼ secretName

SSL証明書、SSL証明書とペアになる秘密鍵、を保持するSecretの名前を設定する。

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: foo-issuer
  namespace: foo-namespace
spec:
  ca:
    secretName: foo-certificate-secret