與第三方工具整合

本文概要說明與憑證授權單位服務整合的第三方工具。

HashiCorp Vault

HashiCorp Vault 可讓您在內部部署環境中管理及儲存密鑰。您可以將 Hashicorp Vault CA 設定為 Proxy,將所有憑證核發要求轉送至 Certificate Authority Service。

CA 服務的 Vault 外掛程式會透過 Hashicorp Vault 簽發憑證,方法是產生私密金鑰和憑證簽署要求 (CSR),或是接收使用者提供的 CSR。外掛程式不會執行建立和刪除 CA 作業,也不會管理憑證授權單位 (CA) 生命週期的其他層面。

大致來說,外掛程式會充當核發憑證的 Proxy。

使用 Vault 外掛程式有以下優點:

  • 管理員可以使用熟悉的流程,以及保管箱中現有的存取控制清單 (ACL) 權限。
  • 管理員可以定義哪些人可以要求憑證,以及這些憑證的規格和限制。

如要進一步瞭解如何設定及使用外掛程式,請參閱 README:CA 服務的 Vault 外掛程式

Cert-Manager

Jetstack Cert-Manager 是開放原始碼 Kubernetes 外掛程式,可自動管理及核發各種核發來源的 TLS 憑證。

Cert-Manager 會管理使用 Certificate Manager 建立的 CA 集區所核發憑證的生命週期。Cert-Manager 可確保憑證有效,並在到期前及時更新。

如需瞭解如何搭配使用 Cert-Manager 和 Certificate Manager,請參閱「README: Certificate Authority Service Issuer for Cert-Manager」。

詳情請參閱「搭配使用 CA 服務與 Certificate Manager」。

後續步驟