Ein abgelaufenes Zertifikat bedeutet einen Ausfall. Schlecht verwaltete Zertifikate sind eine Zeitbombe — die meisten Organisationen haben Zertifikate ueber Dutzende von Servern verstreut ohne zentrale Erfassung. Wenn ein Zertifikat auf einem Produktions-Load-Balancer an einem Freitagabend ablaeuft, ist es zu spaet fuer manuelle Erneuerung. Die Automatisierung des Zertifikats-Lifecycles ist eine Investition, die sich beim ersten verhinderten Ausfall auszahlt.
cert-manager in Kubernetes¶
# Installation
helm install cert-manager jetstack/cert-manager --set installCRDs=true
# Let's Encrypt Issuer
apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
name: letsencrypt
spec:
acme:
server: https://acme-v02.api.letsencrypt.org/directory
email: admin@example.com
privateKeySecretRef:
name: letsencrypt-key
solvers:
- http01:
ingress:
class: nginx
cert-manager automatisiert den gesamten Lifecycle — Anforderung, Validierung, Speicherung im Kubernetes Secret und automatische Erneuerung vor Ablauf. Es unterstuetzt Let’s Encrypt, Vault, Venafi und andere Zertifizierungsstellen. Nach der Konfiguration eines ClusterIssuers genuegt es, die Annotation cert-manager.io/cluster-issuer: letsencrypt zum Ingress hinzuzufuegen, und das Zertifikat wird automatisch erstellt.
Monitoring¶
# Prometheus Alert
- alert: CertificateExpiringSoon
expr: certmanager_certificate_expiration_timestamp_seconds - time() < 7 * 24 * 3600
labels:
severity: warning
annotations:
summary: "Certificate {{ $labels.name }} expires in less than 7 days"
Ablaufueberwachung ist die zweite kritische Schicht. Prometheus-Metriken von cert-manager ermoeglichen Alerting mit ausreichendem Vorlauf. Fuer Zertifikate ausserhalb von Kubernetes verwenden Sie Tools wie ssl-cert-check oder den Blackbox Exporter, der TLS-Handshakes an Endpunkten testet.
Ausserhalb von Kubernetes¶
Fuer Server ohne cert-manager automatisieren Sie die Erneuerung ueber certbot mit einem Cron-Job. Fuer interne PKI sollten Sie HashiCorp Vault als Zertifizierungsstelle in Betracht ziehen — Vault stellt kurzlebige Zertifikate aus (Stunden statt Monate), was die Auswirkungen einer Kompromittierung minimiert.
Wichtigste Erkenntnis¶
cert-manager fuer Kubernetes, certbot fuer Standalone-Server, Prometheus fuer Ablaufueberwachung. Automatisieren Sie die Erneuerung und ueberwachen Sie den Ablauf — manuelle Zertifikatsverwaltung skaliert nicht.