Publié le: Jul 15, 2021
ACM Private Certificate Authority (CA) prend désormais en charge un plugin open source pour cert-manager qui offre une solution d'autorité de certification plus sécurisée pour les conteneurs Kubernetes. cert-manager est une solution largement adoptée pour la gestion de certificats TLS dans Kubernetes. Les clients qui utilisent cert-manager pour la gestion du cycle de vie du certificat de l'application peuvent désormais se servir de cette solution afin d'améliorer la sécurité de l'autorité de certification par défaut de cert-manager, qui stocke les clés en texte en clair dans la mémoire du serveur. Les clients soumis à des exigences réglementaires pour le contrôle de l'accès et l'audit de leurs opérations d'autorité de certification peuvent se servir de cette solution pour améliorer la vérifiabilité et la conformité du support.
Les conteneurs et les applications Kubernetes utilisent les certificats numériques pour fournir une authentification et un chiffrement sécurisés des certificats TLS. Ce plugin permet à cert-manager de demander des certificats TLS à partir de l'autorité de certification privée, une autorité de certification hautement disponible, vérifiable et gérée qui sécurise les clés d'autorité de certification à l'aide des modules de sécurité matérielle (HSM) validés par FIPS. L'intégration prend en charge l'automatisation du certificat pour les certificats TLS dans une gamme de configurations, y compris aux attentes d'entrée, sur les gousses et les certificats TLS communs entre les gousses. Vous pouvez vous servir du plugin AWS Private CA Issuer avec Amazon Elastic Kubernetes Service, les Kubernetes autogérés sur AWS et les Kubernetes sur site.
Pour en savoir plus sur le plugin et consulter les instructions de configuration étape par étape, visitez le blog suivant : Clusters Kubernetes activés pour TLS avec ACM Private CA et Amazon EKS. Vous pouvez obtenir le plugin à partir de GitHub.
L'autorité de certification privée d'ACM vous fournit un service d'autorité de certification privée hautement disponible sans investissement initial ni aucune prise en charge des coûts d'entretien continus inhérents à l'exploitation de votre propre autorité de certification privée. Les administrateurs d'autorités de certification peuvent utiliser l'autorité de certification privée pour créer une hiérarchie complète d'autorités de certification, y compris les autorités de certification racine et subordonnées en ligne, sans recourir à des autorités de certification externes. Grâce à l'autorité de certification privée, vous disposez d'un service d'autorité de certification privée sécurisé et géré que vous payez à l'utilisation, vous permettant de créer et gérer de manière centralisée des certificats pour vos ressources connectées.
cert-manager est une fonction supplémentaire de Kubernetes pour la gestion du certificat TLS. cert-manager demande des certificats, les distribue aux conteneurs Kubernetes et automatise le processus de renouvellement de certificat. Il garantit la validité et la mise à jour des certificats et tente de renouveler les certificats juste avant leur expiration.
Pour obtenir la liste des régions dans lesquelles l'autorité de certification privée est disponible, consultez la section Régions et points de terminaison AWS.
Pour démarrer avec l'autorité de certification privée, consultez la page de Mise en route.