ついSSL/TLS証明書の更新を忘れちゃう人へ――Kubernetesの「cert-manager」で始める証明書管理自動化入門:Cloud Nativeチートシート(29)
Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する連載。今回は、cert-managerを利用したIngressによる自己署名証明書とLet's Encryptで発行した証明書の利用方法を解説し、Gateway APIでcert-managerを利用する方法を紹介する。
もう、手動で証明書を作成、取得、設定する世界には戻れない
今やWeb公開で必須となったSSL(Secure Sockets Layer)/TLS(Transport Layer Security)ですが、素の「Kubernetes」において「Ingress」や「Gateway API」でSSL/TLS証明書を利用する場合、自分で証明書を作成し、Secretリソースとして定義してIngressやGateway APIに設定する必要があります。オープンソースソフトウェア(OSS)の「OpenSSL」といった証明書の作成に慣れていない人や初心者にとっては煩雑な作業となり、証明書の管理方法などを勉強する必要もあります。SSL/TLS証明書には有効期限が設けられており、証明書の更新を忘れてシステム障害が発生するといったことも起こるでしょう。
そこで「cert-manager」を利用すると、IngressやGateway APIに設定されたホスト名から自動的に自己署名証明書を作成、設定してくれたり、「Let's Encrypt」などのCA(Certificate Authority、認証局)にSSL/TLS証明書の生成を依頼、設定してくれたりするので、初心者でも簡単に証明書を扱えます。また、自動的に証明書も更新してくれるので、煩雑な証明書管理や証明書の更新忘れから解放されます。
Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する本連載「Cloud Nativeチートシート」。今回は、cert-managerを利用したIngressによる自己署名証明書とLet's Encryptで発行した証明書の利用方法を解説し、Gateway APIでcert-managerを利用する方法を紹介します。Let's Encryptの利用については、No-IPを用いたドメイン取得手順とIP設定も分かりやすく紹介します。
目次
cert-managerとは、5つの特徴
関連記事
SSL/TLS証明書の「不正発行」を防ぐ多視点ドメイン検証、Let's Encryptが開始
SSL/TLS向けのサーバ証明書を無料で発行している認証局「Let's Encrypt」は、BGPの乗っ取りのような攻撃に対抗するため、多視点ドメイン検証を開始した。証明書の不正発行につながる攻撃を抑え込む役に立つという。
手作業によるデジタル証明書管理は限界? エントラスト、世界17カ国のPKI動向を調査
エントラストは2020年11月11日、「2020年版世界のPKI(公開鍵基盤)およびIoT動向調査(2020 Global PKI and IoT Trends Study)」を公開した。
OpenSSL Project、「OpenSSL 3.2.0」を公開
OpenSSL Projectは、クライアント側QUICやTLSハンドシェイクにおける証明書圧縮に対応した「OpenSSL 3.2.0」を公開した。
Copyright © ITmedia, Inc. All Rights Reserved.