サードパーティ製ツールとの統合
このドキュメントでは、Certificate Authority Service と統合しているサードパーティ ツールの概要について説明します。
HashiCorp Vault
Hashicorp Vault を使用すると、シークレットをオンプレミスで管理および保存できます。すべての証明書の発行リクエストを Certificate Authority Service に転送するプロキシとして機能するように、Hashicorp Vault CA を構成できます。
CA Service 用 Vault プラグインは、秘密鍵と証明書署名リクエスト(CSR)を生成するか、ユーザー指定の CSR を受信することで、Hashicorp Vault を通じて証明書を発行します。このプラグインは、CA オペレーションの作成と削除、または認証局(CA)のライフサイクルの他の側面の管理は行いません。
大まかに言えば、プラグインは証明書を発行するためのプロキシとして機能します。
Vault プラグインを使用すると、次のようなメリットがあります。
- 管理者は、Vault で使い慣れたワークフローと既存のアクセス制御リスト(ACL)の権限を使用できます。
- 管理者は、証明書をリクエストできるユーザーと、証明書の仕様と制限を定義できます。
プラグインの設定と使用方法の詳細については、README: CA Service 用の Vault プラグインをご覧ください。
Cert-Manager
Jetstack Cert-Manager は、さまざまな発行元からの TLS 証明書の管理と発行を自動化するオープンソースの Kubernetes アドオンです。
Cert-Manager は、Certificate Manager を使用して作成された CA プールによって発行される証明書のライフサイクルを管理します。Cert-Manager では、証明書の有効性を確認し、期限前に正しく更新されるようにします。
Certificate Manager で Cert-Manager を使用する手順については、README: Cert-Manager の Certificate Authority Service 発行元 をご覧ください。
詳細については、Certificate Manager で CA Service を使用するをご覧ください。