Configurare certificati SSL ACME in Kubernetes con SeFlowSSL CaaS (Sectigo ACME)
SeFlowSSL CaaS (Sectigo ACME) consente di automatizzare completamente il ciclo di vita dei certificati SSL/TLS all'interno di ambienti Kubernetes. L'approccio consigliato consiste nell'utilizzare un client ACME integrato con Kubernetes, in grado di richiedere, installare e rinnovare automaticamente i certificati.
Questa guida fornisce una panoramica dei concetti fondamentali e delle soluzioni consigliate per l'integrazione di SeFlowSSL CaaS con Kubernetes.
Concetti fondamentali
- I certificati e le chiavi private vengono normalmente archiviati come Kubernetes Secret.
- La gestione SSL viene generalmente delegata all'Ingress Controller.
- Tra gli Ingress Controller più utilizzati troviamo NGINX Ingress Controller e Traefik.
- In alcuni scenari il certificato può essere terminato esternamente al cluster, ad esempio tramite un Load Balancer.
Prima di procedere assicurarsi di avere a disposizione le credenziali EAB fornite da SeFlowSSL CaaS, necessarie per l'autenticazione verso l'autorità di certificazione Sectigo.
Scegliere un client ACME per Kubernetes
Il client ACME più diffuso nell'ecosistema Kubernetes è cert-manager, una soluzione open source progettata specificamente per automatizzare la gestione dei certificati all'interno dei cluster Kubernetes.
Documentazione ufficiale:
Se si utilizza Traefik come Ingress Controller, è disponibile il supporto ACME integrato:
https://doc.traefik.io/traefik/https/acme/
Configurazione con cert-manager
Per ambienti Kubernetes si consiglia l'utilizzo di cert-manager insieme alle credenziali ACME fornite da SeFlowSSL CaaS.
La procedura completa di configurazione è disponibile nella documentazione ufficiale:
Configure cert-manager and ACME with Kubernetes
La guida illustra:
- Installazione di cert-manager.
- Configurazione dell'Issuer o ClusterIssuer.
- Configurazione delle credenziali EAB.
- Emissione automatica dei certificati.
- Rinnovo automatico dei certificati.
- Integrazione con Ingress Controller Kubernetes.
Best Practice
- Utilizzare sempre un ClusterIssuer centralizzato per ambienti multi namespace.
- Proteggere le credenziali EAB tramite Kubernetes Secret.
- Monitorare gli eventi di cert-manager.
- Verificare periodicamente i rinnovi automatici.
- Limitare l'accesso ai Secret contenenti chiavi private.
Risoluzione dei problemi
In caso di errori durante la validazione o l'emissione dei certificati:
- Verificare la raggiungibilità del dominio.
- Controllare la configurazione dell'Ingress.
- Verificare le credenziali EAB configurate.
- Controllare gli eventi Kubernetes tramite kubectl.
- Analizzare i log di cert-manager.
Hai bisogno di assistenza?
Per supporto tecnico relativo all'integrazione Kubernetes con SeFlowSSL CaaS è possibile contattare il team SeFlow:
