Erstellen des jetstack helm repo für den cert-manager

helm repo add jetstack https://charts.jetstack.io

Installation des cert-manager inklusive CRDs Support

helm install cert-manager jetstack/cert-manager -n cert-manager --set installCRDs=true --create-namespace

Ein ClusterIssuer Objekt enthält das CA und den Schlüssel der eigenen rootCA. Mit Hilfe dieser Informationen werden dann passende Server Zertifikate erstellt. Wie man sich eine eigene CA erstellen kann habe ich hier unter anderem dokumentiert.

Mit Hilfe der CA oder besser noch einer Intermediate CA und dem passendem keyfile wird ein ClusterIssuer Objekt erstellt, welches am besten im Namepsace vom cert-manager erstellt wird.

Zu erst erstellen wir das Secret mit der CA und dem Secret

kubectl -n cert-manager create secret generic tuxnet-ca --from-file=cert.pem --from-file=key.pem --dry-run=client -o yaml > tuxnetlan-ca.yml
kubectl apply -f tuxnetlan-ca.yml

Nun können wir das passende ClusterIssuer Objekt mit verweis auf das Secret anlegen

apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: tuxnetlan-clusterissuer
spec:
  ca:
    secretName: tuxnet-ca

Ein Certificate Objekte sorgt nun dafür das ein passendes Zertifikat als secret Objekt im korrekten Namespace erstellt wird.

apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: argocd-cert
  namespace: argocd
spec:
  secretName: argocd-server-tls
  issuerRef:
    name: tuxnetlan-clusterissuer
    kind: ClusterIssuer
  dnsNames:
    - argocd.tuxnet.lan

Oder

apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: pdftools-cert
  namespace: stirlingpdf-production
spec:
  secretName: stirlingpdf-tls
  issuerRef:
    name: tuxnetlan-clusterissuer
    kind: ClusterIssuer
  dnsNames:
    - pdftools.tuxnet.lan