承認ポリシー
証明書発行フローには、通常、適合しない証明書リクエストが拒否される可能性のある場所が2つあります。X.509 証明書署名要求 (CSR) を発行者に送信する前と、発行者から X.509 証明書を受信した後です。前者の場合、リクエストを拒否するのは cert-manager です。後者の場合、リクエストを拒否するのは発行者です。
X.509証明書署名要求(CSR)を発行者に送信する前にリクエストを拒否する
cert-manager では、発行者に送信する前に CertificateRequest が承認されている必要があります。また、CertificateSigningRequest も発行者に送信する前に承認されている必要があります。この承認は、リソースに 承認条件 を追加することによって行われます。
デフォルトインストールでは、cert-manager は、組み込みの発行者のいずれかを使用するすべての CertificateRequest および CertificateSigningRequest を自動的に承認します。これは、cert-manager を初めて使用する際のエクスペリエンスを簡素化するために行われます。ただし、これは本番環境には推奨されません。代わりに、どの証明書を誰がリクエストできるかを制限する、より厳格な自動承認を設定する必要があります。approver-policy は、そのような自動承認の例です。
発行者によるX.509証明書署名要求(CSR)の受信後にリクエストを拒否する
X.509証明書署名要求 (CSR) を受信した後、リクエストを拒否するロジックは発行者に委ねられています。cert-manager は多数の発行者をサポートしており、各発行者は、どのリクエストが拒否され、どのようなエラーメッセージが返されるかについて、完全に自律性を持っています。さらに、発行者は、すべてのリクエストを受け入れ、代わりに CSR の適合しないプロパティを上書きすることもできます。より一般的には、発行者は、X.509証明書署名要求 (CSR) のプロパティを X.509証明書のプロパティにマップするために、任意のロジックを使用できます(発行ポリシーを参照してください)。
