Veröffentlicht am: Jul 15, 2021
ACM Private Certificate Authority (CA) unterstützt jetzt ein Open-Source-Plug-In für cert-manager, was eine sicherere Zertifizierungsstellenlösung für Kubernetes-Container bietet. cert-manager ist eine weit verbreitete Lösung für die TLS-Zertifikatsverwaltung in Kubernetes. Für Kunden, die cert-manager für die Verwaltung des Lebenszyklus von Anwendungszertifikaten verwenden, bedeutet diese Lösung eine Verbesserung der Sicherheit gegenüber dem standardmäßigen cert-manager CA, der Schlüssel im Klartext im Serverspeicher speichert. Mit dieser Lösung können Kunden mit rechtlichen Anforderungen bezüglich der Zugriffskontrolle und Prüfung ihrer CA-Operationen die Nachvollziehbarkeit verbessern und die Compliance unterstützen.
Container und Anwendungen von Kubernetes verwenden digitale Zertifikate, um eine sichere Authentifizierung und Verschlüsselung über TLS zu ermöglichen. Mithilfe dieses Plug-Ins fordert cert-manager TLS-Zertifikate von Private CA an, einer hochverfügbaren, überprüfbaren und verwalteten CA, die CA-Schlüssel mit FIPS-validierten Hardware Security Modules (HSMs) absichert. Die Integration unterstützt die Zertifikatsautomatisierung für TLS in verschiedenen Konfigurationen, einschließlich am Eingang, auf dem Pod und gegenseitiges TLS zwischen Pods. Sie können das AWS Private CA Issuer-Plug-In mit Amazon Elastic Kubernetes Service, selbst verwaltetem Kubernetes auf AWS und Kubernetes On-Premises verwenden.
Weitere Informationen über das Plug-In und die schrittweise Anleitung zur Konfiguration finden Sie in diesem Blog: TLS-fähige Kubernetes-Cluster mit ACM Private CA und Amazon EKS. Sie finden das Plugin auf GitHub.
Private CA bietet Ihnen einen hochverfügbaren privaten Zertifizierungsstellendienst ohne die vorherigen Investitionen und laufenden Wartungskosten für den Betrieb Ihrer eigenen privaten Zertifizierungsstelle. CA-Administratoren können mit Private CA eine vollständige CA-Hierarchie erstellen, einschließlich Online-Root- und untergeordneten CAs. Externe CAs sind nicht erforderlich. Mit einer Private CA können Sie private Zertifikate für Ihre Ressourcen zentral mit einem sicheren, verwalteten, nutzungsabhängigen Service für private CAs erstellen.
cert-manager ist ein Add-on für Kubernetes zur Verwaltung von TLS-Zertifikaten. cert-manager fordert Zertifikate an, verteilt sie an Kubernetes-Container und automatisiert die Zertifikatserneuerung. Mithilfe von cert-manager kann sichergestellt werden, dass Zertifikate gültig und aktuell sind. Es wird versucht, Zertifikate zu einem geeigneten Zeitpunkt vor Ablauf zu erneuern.
Eine Liste der Regionen, in denen Private CA verfügbar ist, finden Sie unter AWS-Regionen und -Endpunkte.
Informationen zu den ersten Schritten mit Private CA finden Sie auf der Seite Erste Schritte.