APIリファレンス

文字列

文字列

metadata フィールドのフィールドについては、Kubernetes API ドキュメントを参照してください。

文字列

文字列

metadata フィールドのフィールドについては、Kubernetes API ドキュメントを参照してください。

URLは、完了する必要がある承認のURLです。

Identifierはこの承認の一部として検証されるDNS名です。

この承認がワイルドカードDNS名を対象とする場合、Wildcardはtrueになります。これがtrueの場合、識別子はDNS名のワイルドカードではないバージョンになります。例えば、「*.example.com」が検証されているDNS名の場合、このフィールドは「true」になり、「identifier」フィールドは「example.com」になります。

InitialStateは、ACMEサーバーから最初にフェッチされたときのACME承認の初期状態です。承認が既に「有効」になっている場合、Orderコントローラーは承認に対してチャレンジリソースを作成しません。これは、「authz reuse」を有効にするACMEサーバー（Let's Encryptのプロダクションエンドポイントなど）を使用している場合に発生します。設定されておらず、「identifier」が設定されている場合、状態は保留中と見なされ、チャレンジが作成されます。

Challengesは、ACMEサーバーによって提供されるチャレンジの種類を指定します。DNS名を検証する際にこれらのチャレンジの種類の1つが選択され、適切なChallengeリソースが作成されてACMEチャレンジプロセスが実行されます。

URLはこのチャレンジのURLです。ACMEサーバーからチャレンジに関する追加のメタデータを取得するために使用できます。

Tokenはこのチャレンジで提示する必要があるトークンです。これは、提示する必要がある「key」を計算するために使用されます。

Typeは、提供されているチャレンジの種類です（例：「http-01」、「dns-01」、「tls-sni-01」など）。これはACMEサーバーから取得された生の値です。「http-01」と「dns-01」だけがcert-managerでサポートされており、他の値は無視されます。

Selectorは、このチャレンジソルバーを使用して解決する必要があるCertificateリソースのDNSNamesのセットを選択します。指定されていない場合、ソルバーは優先順位が最も低い「デフォルト」ソルバーとして扱われます。つまり、他のソルバーがより具体的な一致を持つ場合、代わりにそれが使用されます。

HTTP01チャレンジフローを実行することで承認を完了しようとcert-managerを構成します。ワイルドカードドメイン名（例：`*.example.com`）の証明書は、HTTP01チャレンジメカニズムを使用して取得することはできません。

DNS01チャレンジフローを実行することで承認を完了しようとcert-managerを構成します。

CNAMEStrategyは、DNSゾーンでCNAMEレコードが見つかった場合のDNS01プロバイダーの処理方法を構成します。

Akamai DNSゾーン管理APIを使用してDNS01チャレンジレコードを管理します。

Google Cloud DNS APIを使用してDNS01チャレンジレコードを管理します。

Cloudflare APIを使用してDNS01チャレンジレコードを管理します。

AWS Route53 APIを使用してDNS01チャレンジレコードを管理します。

Microsoft Azure DNS APIを使用してDNS01チャレンジレコードを管理します。

DigitalOcean DNS APIを使用してDNS01チャレンジレコードを管理します。

「ACME DNS」(https://github.com/joohoi/acme-dns) APIを使用してDNS01チャレンジレコードを管理します。

RFC2136（「ドメインネームシステムの動的更新」）(https://datatracker.ietf.org/doc/rfc2136/)を使用してDNS01チャレンジレコードを管理します。

外部WebhookベースのDNS01チャレンジソルバーを構成してDNS01チャレンジレコードを管理します。

イングレスベースのHTTP01チャレンジソルバーは、`/.well-known/acme-challenge/XYZ` のリクエストを、完了する必要がある各チャレンジのためにcert-managerによってプロビジョニングされた「チャレンジソルバー」ポッドにルーティングするために、Ingressリソースの作成または変更によってチャレンジを解決します。

Gateway APIは、Kubernetesにおけるサービスネットワーキングをモデル化するsig-networkコミュニティAPIです(https://gateway-api.sigs.k8s.io/)。Gatewayソルバーは、チャレンジと同じ名前空間に指定されたラベルを持つHTTPRouteを作成します。このソルバーは実験的であり、将来フィールド/動作が変更される可能性があります。

Kubernetesソルバーサービスのオプションのサービスの種類です。サポートされている値はNodePortまたはClusterIPです。設定されていない場合、NodePortがデフォルトになります。

HTTP-01チャレンジを解決する際にcert-managerによって作成されるHTTPRouteに適用されるカスタムラベルです。

HTTP-01チャレンジを解決する際、cert-managerはHTTPRouteを作成します。cert-managerは、HTTPRouteを作成する際に使用するparentRefを知る必要があります。通常、parentRefはGatewayを参照します。参照: https://gateway-api.sigs.k8s.io/api-types/httproute/#attaching-to-gateways

HTTP01チャレンジに使用されるACMEチャレンジソルバーポッドを構成するために使用されるオプションのポッドテンプレートです。

Kubernetesソルバーサービスのオプションのサービスの種類です。サポートされている値はNodePortまたはClusterIPです。設定されていない場合、NodePortがデフォルトになります。

このフィールドは、このチャレンジソルバーを使用するACMEチャレンジを解決するために使用される作成されたIngressリソースのフィールド`ingressClassName`を構成します。これは、イングレスクラスを構成するための推奨方法です。`class`、`name`、`ingressClassName`のいずれか1つのみを指定できます。

このフィールドは、このチャレンジソルバーを使用するACMEチャレンジを解決するためにIngressリソースを作成する際の注釈`kubernetes.io/ingress.class`を構成します。`class`、`name`、`ingressClassName`のいずれか1つのみを指定できます。

HTTP01チャレンジを解決するために、ACMEチャレンジ解決ルートを挿入する必要があるIngressリソースの名前。これは通常、外部IPとIngressリソース間の1対1のマッピングを維持するingress-gceなどのIngressコントローラーと組み合わせて使用されます。class、name、ingressClassNameのうち、1つのみを指定できます。

HTTP01チャレンジに使用されるACMEチャレンジソルバーポッドを構成するために使用されるオプションのポッドテンプレートです。

HTTP01チャレンジに使用されるACMEチャレンジソルバーIngressの設定に使用されるオプションのIngressテンプレート。

作成されたACME HTTP01ソルバーIngressに追加するアノテーション。

作成されたACME HTTP01ソルバーIngressに追加するラベル。

作成されたACME HTTP01ソルバーPodに追加するアノテーション。

作成されたACME HTTP01ソルバーPodに追加するラベル。

すべてのコンテナに適用するSELinuxコンテキスト。指定しない場合、コンテナランタイムは各コンテナにランダムなSELinuxコンテキストを割り当てます。SecurityContextにも設定できます。SecurityContextとPodSecurityContextの両方に設定されている場合、SecurityContextで指定された値がそのコンテナに対して優先されます。spec.os.nameがwindowsの場合、このフィールドは設定できません。

コンテナプロセスのエントリポイントを実行するUID。指定しない場合、イメージメタデータで指定されたユーザーがデフォルトになります。SecurityContextにも設定できます。SecurityContextとPodSecurityContextの両方に設定されている場合、SecurityContextで指定された値がそのコンテナに対して優先されます。spec.os.nameがwindowsの場合、このフィールドは設定できません。

コンテナプロセスのエントリポイントを実行するGID。設定されていない場合は、ランタイムのデフォルトを使用します。SecurityContextにも設定できます。SecurityContextとPodSecurityContextの両方に設定されている場合、SecurityContextで指定された値がそのコンテナに対して優先されます。spec.os.nameがwindowsの場合、このフィールドは設定できません。

コンテナをルート以外のユーザーとして実行する必要があることを示します。trueの場合、Kubeletは実行時にイメージを検証して、UID 0（ルート）として実行されないことを確認し、実行されない場合はコンテナの起動に失敗します。設定されていないかfalseの場合、そのような検証は実行されません。SecurityContextにも設定できます。SecurityContextとPodSecurityContextの両方に設定されている場合、SecurityContextで指定された値が優先されます。

コンテナのプライマリGID、fsGroup（指定されている場合）、およびコンテナプロセスのuidのコンテナイメージで定義されたグループメンバーシップに加えて、各コンテナで最初に実行されるプロセスに適用されるグループのリスト。指定されていない場合、追加のグループはどのコンテナにも追加されません。コンテナプロセスのuidのコンテナイメージで定義されたグループメンバーシップは、このリストに含まれていなくても有効であることに注意してください。spec.os.nameがwindowsの場合、このフィールドは設定できません。

Pod内のすべてのコンテナに適用される特別な補足グループ。一部のボリュームタイプでは、Kubeletがそのボリュームの所有権をPodが所有するように変更できます。

1. 所有GIDはFSGroupになります。
2. setgidビットが設定されています（ボリュームに作成された新しいファイルはFSGroupが所有します）。
3. パーミッションビットはrw-rw----とORされます。

設定されていない場合、Kubeletはボリュームの所有権とパーミッションを変更しません。spec.os.nameがwindowsの場合、このフィールドは設定できません。

Sysctlsは、Podに使用される名前空間付きsysctlsのリストを保持します。サポートされていないsysctls（コンテナランタイムによる）を持つPodは起動に失敗する可能性があります。spec.os.nameがwindowsの場合、このフィールドは設定できません。

fsGroupChangePolicyは、Pod内で公開される前にボリュームの所有権とパーミッションを変更する動作を定義します。このフィールドは、fsGroupベースの所有権（およびパーミッション）をサポートするボリュームタイプにのみ適用されます。secret、configmaps、emptydirなどのephemeralボリュームタイプには影響しません。有効な値は「OnRootMismatch」と「Always」です。指定されていない場合、「Always」が使用されます。spec.os.nameがwindowsの場合、このフィールドは設定できません。

このPodのコンテナで使用されるseccompオプション。spec.os.nameがwindowsの場合、このフィールドは設定できません。

NodeSelectorは、Podがノードに適合するためにtrueでなければならないセレクターです。Podがそのノードにスケジュールされるために、ノードのラベルと一致する必要があるセレクター。詳細情報: https://kubernetes.io/docs/concepts/configuration/assign-pod-node/

指定されている場合、Podのスケジューリング制約。

指定されている場合、Podの許容値。

指定されている場合、PodのpriorityClassName。

指定されている場合、Podのサービスアカウント。

指定されている場合、PodのimagePullSecrets。

指定されている場合、Podのセキュリティコンテキスト。

HTTP01チャレンジを解決するために使用されるPodのObjectMetaのオーバーライド。'labels'と'annotations'フィールドのみを設定できます。ラベルまたはアノテーションが組み込みの値と重複する場合、ここの値が組み込みの値をオーバーライドします。

PodSpecは、HTTP01チャレンジソルバーPodのオーバーライドを定義します。現在サポートされているフィールドについては、ACMEChallengeSolverHTTP01IngressPodSpecを確認してください。その他のすべてのフィールドは無視されます。

HTTP01チャレンジを解決するために使用されるIngressのObjectMetaのオーバーライド。'labels'と'annotations'フィールドのみを設定できます。ラベルまたはアノテーションが組み込みの値と重複する場合、ここの値が組み込みの値をオーバーライドします。

"DNS-01"

ACMEChallengeTypeDNS01は、チャレンジがdns-01タイプであることを示します。詳細情報: https://letsencrypt.dokyumento.jp/docs/challenge-types/#dns-01-challenge

"HTTP-01"

ACMEChallengeTypeHTTP01は、チャレンジがhttp-01タイプであることを示します。詳細情報: https://letsencrypt.dokyumento.jp/docs/challenge-types/#http-01-challenge

keyIDは、外部アカウントがバインドされているCAキーのIDです。

keySecretRefは、外部アカウントバインディングの対称MACキーを保持するKubernetes Secret内のデータアイテムを参照するSecret Key Selectorです。keyは、Secret内のキーデータとペアになっているインデックス文字列であり、キーデータ自体、または上記の外部アカウントバインディングkeyIDと混同しないでください。Secretに保存されている秘密鍵は、**必ず**パディングされていないbase64 URLエンコードデータである必要があります。

非推奨: keyAlgorithmフィールドは、過去の互換性のために存在しており、使用しないでください。アルゴリズムは現在、golang/x/crypto/acmeでHS256にハードコーディングされています。

Emailは、ACMEアカウントに関連付けるメールアドレスです。このフィールドはオプションですが、設定することを強くお勧めします。アカウントまたは証明書の問題（有効期限の通知メールを含む）が発生した場合に、連絡を取るために使用されます。このフィールドは、アカウントが最初に登録された後に更新できます。

Serverは、ACMEサーバーの「ディレクトリ」エンドポイントにアクセスするために使用されるURLです。たとえば、Let's Encryptのステージングエンドポイントの場合、「https://acme-staging-v02.api.letsencrypt.org/directory」を使用します。ACME v2エンドポイント（つまり、RFC 8555）のみがサポートされています。

PreferredChainは、ACMEサーバーが複数出力した場合に使用するチェーンです。PreferredChainは、これがACMEエンドポイントによって配信されるという保証はありません。たとえば、Let's EncryptのDSTクロスサインの場合、「DST Root CA X3」または新しいLet's EncryptルートCAの場合は「ISRG Root X1」を使用します。この値は、ルートCAとしてこの値を持つ証明書を持つ、ACMEのデフォルトと代替チェーンの組み合わせセットの最初の証明書バンドルを選択します。

ACMEサーバーによって提示された証明書チェーンを検証するために使用できる、PEM CAのBase64エンコードバンドル。SkipTLSVerifyとは相互に排他的です。さまざまな種類のセキュリティ脆弱性を防ぐために、CABundleの使用を優先してください。CABundleとSkipTLSVerifyが設定されていない場合、コンテナ内のシステム証明書バンドルを使用してTLS接続を検証します。

非推奨：ACMEサーバーのTLS証明書の検証を有効または無効にします。trueの場合、ACMEサーバーへのリクエストではTLS証明書チェーンの検証が行われません。CABundleとは相互に排他的です。さまざまな種類のセキュリティ脆弱性を防ぐために、CABundleの使用を優先してください。開発環境でのみこのオプションを有効にしてください。CABundleとSkipTLSVerifyが設定されていない場合、コンテナ内のシステム証明書バンドルを使用してTLS接続を検証します。デフォルトはfalseです。

ExternalAccountBindingは、ACMEサーバーのCA外部アカウントへの参照です。設定されている場合、登録時にcert-managerは、指定された外部アカウント資格情報を登録済みのACMEアカウントに関連付けようとします。

PrivateKey は、自動生成された ACME アカウントの秘密鍵を格納するために使用される Kubernetes Secret リソースの名前です。オプションで、key を指定して、名前付き Secret リソース内の特定のエントリを選択できます。key が指定されていない場合、デフォルトの tls.key が使用されます。

Solvers は、一致するドメインの ACME チャレンジを解決するために使用されるチャレンジソルバーのリストです。ACME サーバーから証明書を取得するには、ソルバーの設定を提供する必要があります。詳細については、以下を参照してください。 https://cert-manager.dokyumento.jp/docs/configuration/acme/

新しい ACME アカウントキーの生成を有効または無効にします。true の場合、Issuer リソースは新しいアカウントを要求せず、既存のシークレットを介してアカウントキーが提供されることを期待します。false の場合、cert-manager システムは Issuer に新しい ACME アカウントキーを生成します。デフォルトは false です。

証明書の有効期間と一致する Not After 日付の証明書を要求することを有効にします。Let's Encrypt など、すべての ACME サーバーでサポートされているわけではありません。ACME サーバーがこれをサポートしていない場合に true に設定すると、Order でエラーが発生します。デフォルトは false です。

認証: Azure Service Principal: Azure DNS での認証に使用される Azure Service Principal の ClientID。設定する場合は、ClientSecret と TenantID も設定する必要があります。

認証: Azure Service Principal: Service Principal に関連付けられたパスワードを含む Secret への参照。設定する場合は、ClientID と TenantID も設定する必要があります。

Azure サブスクリプションの ID

認証: Azure Service Principal: Azure DNS での認証に使用される Azure Service Principal の TenantID。設定する場合は、ClientID と ClientSecret も設定する必要があります。

DNS ゾーンが存在するリソースグループ

使用する DNS ゾーンの名前

Azure 環境の名前 (デフォルトは AzurePublicCloud)

認証: Azure Workload Identity または Azure Managed Service Identity: Azure Workload Identity または Azure Managed Service Identity を有効にする設定。設定する場合は、ClientID、ClientSecret、および TenantID を設定しないでください。

HostedZoneName は、チャレンジレコードを作成する必要がある Cloud DNS ゾーンを cert-manager に伝えるオプションフィールドです。空のままにすると、cert-manager は自動的にゾーンを選択します。

アカウントのメールアドレス。API キーベースの認証を使用する場合にのみ必要です。

Cloudflare での認証に使用する API キー。注: 権限の制御を強化するために、API トークンを使用した認証が推奨される方法となっています。

Cloudflare での認証に使用される API トークン。

RFC2136 をサポートする権限のある DNS サーバーの IP アドレスまたはホスト名（host:port の形式）。ホストが IPv6 アドレスの場合は、角括弧で囲む必要があります（例: [2001:db8::1]）。ポートはオプションです。このフィールドは必須です。

TSIG 値を含むシークレットの名前。tsigKeyName が定義されている場合、このフィールドは必須です。

DNS に設定されている TSIG キー名。tsigSecretSecretRef が定義されている場合、このフィールドは必須です。

RFC2136 をサポートする DNS に設定されている TSIG アルゴリズム。tsigSecretSecretRef と tsigKeyName が定義されている場合にのみ使用されます。サポートされる値は（大文字小文字を区別しない）：HMACMD5（デフォルト）、HMACSHA1、HMACSHA256、または HMACSHA512 です。

Auth は、cert-manager がどのように認証するかを設定します。

AccessKeyID は認証に使用されます。SecretAccessKeyID が設定されている場合は設定できません。アクセスキーとキーIDのどちらも設定されていない場合、環境変数、共有資格情報ファイル、または AWS インスタンスメタデータを使用します。詳細については、以下を参照してください。 https://docs.aws.amazon.com/sdk-for-go/v1/developer-guide/configuring-sdk.html#specifying-credentials

SecretAccessKey は認証に使用されます。設定する場合は、Kubernetes Secret 内のキーから AWS アクセスキー ID を取得します。AccessKeyID が設定されている場合は設定できません。アクセスキーとキーIDのどちらも設定されていない場合、環境変数、共有資格情報ファイル、または AWS インスタンスメタデータを使用します。詳細については、以下を参照してください。 https://docs.aws.amazon.com/sdk-for-go/v1/developer-guide/configuring-sdk.html#specifying-credentials

SecretAccessKey は認証に使用されます。アクセスキーとキーIDのどちらも設定されていない場合、環境変数、共有資格情報ファイル、または AWS インスタンスメタデータを使用します。詳細については、以下を参照してください。 https://docs.aws.amazon.com/sdk-for-go/v1/developer-guide/configuring-sdk.html#specifying-credentials

Role は、Route53 プロバイダーが明示的な資格情報 AccessKeyID/SecretAccessKey または環境変数、共有資格情報ファイル、または AWS インスタンスメタデータから推論された資格情報を使用して想定するロール ARN です。

設定されている場合、プロバイダーは Route53 のこのゾーンのみを管理し、route53:ListHostedZonesByName API 呼び出しを使用してルックアップを実行しません。

AWS リージョンを上書きします。

Route53 はグローバルサービスであり、リージョンエンドポイントはありませんが、ここで指定されたリージョン（または環境変数経由）は、Route53 に接続するときの正しい AWS 資格スコープとパーティションの計算に役立つヒントとして使用されます。以下を参照してください。- Amazon Route 53 エンドポイントとクォータ- グローバルサービス

このリージョンフィールドを省略した場合、cert-manager は設定されている場合、AWS_REGION および AWS_DEFAULT_REGION 環境変数からリージョンを使用します。

IAM Roles for Service Accounts (IRSA) を使用する場合、region フィールドは必要ありません。代わりに、Amazon EKS Pod Identity Webhook によって AWS_REGION 環境変数が cert-manager コントローラー Pod に追加されます。この場合、この region フィールドの値は無視されます。

EKS Pod Identities を使用する場合、region フィールドは必要ありません。代わりに、Amazon EKS Pod Identity Agent によって AWS_REGION 環境変数が cert-manager コントローラー Pod に追加されます。この場合、この region フィールドの値は無視されます。

ChallengePayload リソースを webhook apiserver に POST する際に使用する API グループ名。これは、webhook プロバイダーの実装で指定された GroupName と同じである必要があります。

webhook プロバイダーの実装で定義されている、使用するソルバーの名前。通常はプロバイダーの名前（例： 'cloudflare'）になります。

チャレンジが処理される際に webhook apiserver に渡す追加の設定。任意の JSON データを含めることができます。シークレット値はこの節で指定しないでください。シークレット値が必要な場合（例：DNS サービスの資格情報）、SecretKeySelector を使用して Secret リソースを参照する必要があります。このフィールドのスキーマの詳細については、webhook プロバイダーの実装のドキュメントを参照してください。

URI は一意のアカウント識別子であり、CA からアカウントの詳細を取得するためにも使用できます。

LastRegisteredEmail は、最新の登録済み ACME アカウントに関連付けられたメールアドレスです。Issuer に関連付けられた登録済みアカウントに加えられた変更を追跡するために使用されます。

LastPrivateKeyHash は、最新の登録済み ACME アカウントに関連付けられた秘密鍵のハッシュです。Issuer に関連付けられた登録済みアカウントに加えられた変更を追跡するために使用されます。

"AzureChinaCloud"

"AzureGermanCloud"

"AzurePublicCloud"

"AzureUSGovernmentCloud"

マネージド ID のクライアント ID。resourceID と同時に使用することはできません。

マネージド ID のリソース ID。clientID と同時に使用することはできません。Azure Managed Service Identity では使用できません。

このチャレンジソルバーが適用される証明書のセットを絞り込むために使用されるラベルセレクターです。

このソルバーが使用される DNS 名のリストです。指定されていて一致が見つかった場合、dnsNames セレクターは dnsZones セレクターよりも優先されます。複数のソルバーが同じ dnsNames 値と一致する場合、matchLabels で最も多くのラベルが一致するソルバーが選択されます。どちらも一致数が同じ場合、リストで先に定義されたソルバーが選択されます。

このソルバーが使用される DNS ゾーンのリストです。ここで指定された最も具体的な DNS ゾーンの一致が、他の DNS ゾーンの一致よりも優先されます。そのため、sys.example.com を指定するソルバーは、example.com を指定するソルバーよりも、ドメイン www.sys.example.com に対して選択されます。複数のソルバーが同じ dnsZones 値と一致する場合、matchLabels で最も多くのラベルが一致するソルバーが選択されます。どちらも一致数が同じ場合、リストで先に定義されたソルバーが選択されます。

このチャレンジの ACME チャレンジリソースの URL。これを使用して、このチャレンジのステータスの詳細を検索できます。

このチャレンジが属するACME承認リソースのURL。

dnsNameはこのチャレンジの対象となる識別子です（例: example.com）。要求されたDNSNameがワイルドカードの場合、このフィールドはワイルドカードではないドメインに設定する必要があります。例えば、`*.example.com`の場合は`example.com`にする必要があります。

このチャレンジがワイルドカード識別子（例: `*.example.com`）を対象とする場合、wildcardはtrueになります。

このリソースが表すACMEチャレンジの種類です。「HTTP-01」または「DNS-01」のいずれかです。

このチャレンジのACMEチャレンジトークンです。これはACMEサーバーから返された生の値です。

このチャレンジのACMEチャレンジキーです。HTTP01チャレンジの場合、これはHTTP01チャレンジを完了するために応答する必要がある値であり、以下の形式になります: `<秘密鍵JWKサムプリント>.<チャレンジのためのacmeサーバーからのキー>`。DNS01チャレンジの場合、これは`<秘密鍵JWKサムプリント>.<チャレンジのためのacmeサーバーからのキー>`テキストのbase64エンコードされたSHA256ハッシュであり、TXTレコードの内容として設定する必要があります。

このチャレンジリソースを解決するために使用する必要があるドメイン解決構成が含まれています。

このチャレンジを作成するために使用する必要がある、正しく構成されたACMEタイプのIssuerを参照します。Issuerが存在しない場合、処理は再試行されます。Issuerが「ACME」Issuerでない場合、エラーが返され、チャレンジは失敗としてマークされます。

このチャレンジを処理するかどうかを示すために使用されます。このフィールドは、「スケジューリング」コンポーネントによってのみ true に設定されます。「チャレンジ」コントローラーによって、チャレンジが最終状態に達するか、タイムアウトした後にのみ false に設定されます。このフィールドが false に設定されている場合、チャレンジコントローラーはそれ以上アクションを実行しません。

このチャレンジのチャレンジ値が現在「提示」されている場合、presented は true に設定されます。これは、自己チェックがパスしていることを意味するものではありません。値が適切なチャレンジメカニズムに対して「送信」されたことのみを示します（つまり、DNS01 TXT レコードが提示されたか、HTTP01 構成が構成されたことを意味します）。

チャレンジが現在の状態にある理由に関する、人間が読める情報を格納します。

チャレンジの現在の「状態」を格納します。設定されていない場合、チャレンジの状態は不明です。

"HS256"

"HS384"

"HS512"

DERエンコーディングの証明書署名要求バイトです。これはオーダーを確定する際に使用されます。このフィールドはオーダーに設定する必要があります。

IssuerRefは、このOrderの作成に使用される適切に構成されたACMEタイプのIssuerを参照します。Issuerが存在しない場合、処理は再試行されます。Issuerが「ACME」Issuerでない場合、エラーが返され、Orderは失敗としてマークされます。

CommonNameは、DERエンコードされたCSRに指定されている共通名です。指定されている場合、この値は`dnsNames`または`ipAddresses`にも存在する必要があります。このフィールドは、DERエンコードされたCSR上の対応するフィールドと一致する必要があります。

DNSNamesは、Order検証プロセスの一部として含める必要があるDNS名のリストです。このフィールドは、DERエンコードされたCSR上の対応するフィールドと一致する必要があります。

IPAddressesは、Order検証プロセスの一部として含める必要があるIPアドレスのリストです。このフィールドは、DERエンコードされたCSR上の対応するフィールドと一致する必要があります。

Durationは、要求された証明書のnot after日付の期間です。これはACME仕様に従って、オーダー作成時に設定されます。

Order の URL です。これは、リソースが最初に作成されたときは最初は空です。Order コントローラーは、Order が最初に処理されたときにこのフィールドを設定します。このフィールドは、最初に設定された後は変更できません。

Order の FinalizeURL です。これは、Order が完了したら、この Order の証明書を取得するために使用されます。

Authorizations には、Order に指定された DNS 名を検証するために完了する必要がある承認に関する、ACME サーバーから返されたデータが含まれています。

Certificate は、この Order の PEM エンコードされた証明書のコピーです。このフィールドは、Order が ACME サーバーで正常に完了し、Order が「有効」状態に移行した後に設定されます。

State には、この Order リソースの現在の状態が含まれています。「success」と「expired」の状態は「最終」状態です。

Reason は、Order が現在の状態にある理由に関する追加情報をオプションで提供します。

FailureTime は、この Order が失敗した時間を格納します。これは、ガベージコレクションとバックオフに影響を与えるために使用されます。

Kubernetes は、バインドされた ServiceAccount トークンを渡すことで、AssumeRoleWithWebIdentity を使用して Route53 で認証します。

バインドされたトークン（「投影されたトークン」とも呼ばれます）を要求するために使用されるサービスアカウントへの参照です。このフィールドを使用するには、cert-manager がトークンを要求できるように RBAC ルールを構成する必要があります。

トークンを要求するために使用される ServiceAccount の名前です。

TokenAudiences は、AWS に渡されるトークンに含めるオーディエンスのオプションのリストです。発行者の名前空間と名前からなるデフォルトのトークンは常に含まれます。設定されていない場合、オーディエンスはsts.amazonaws.comにデフォルト設定されます。

"errored"

Errored は、何らかの理由で ACME リソースにエラーが発生したことを示します。これは包括的な状態であり、検証の失敗などの内部 cert-manager エラーのマーク付けに使用されます。これは最終状態です。

"expired"

Expired は、ACME リソースが期限切れになったことを示します。Order が「Expired」とマークされている場合、その検証の 1 つが期限切れになったか、Order 自体が期限切れになった可能性があります。これは最終状態です。

"invalid"

Invalid は、何らかの理由で ACME リソースが無効であることを示します。Order が「invalid」とマークされている場合、その検証の 1 つが何らかの理由で無効である必要があります。これは最終状態です。

"pending"

Pending は、ACME リソースがまだ保留中で、まだ準備ができていないことを示します。Order が「Pending」とマークされている場合、その Order の検証はまだ進行中です。これは一時的な状態です。

"processing"

Processing は、ACME リソースがサーバーによって処理されていることを示します。Order が「Processing」とマークされている場合、その Order の検証は現在処理中です。これは一時的な状態です。

"ready"

Ready は、ACME リソースが準備完了状態にあることを示します。Order が「ready」の場合、そのすべてのチャレンジが正常に完了し、Order は完了する準備ができています。完了すると、「有効」状態に移行します。これは一時的な状態です。

""

Unknown は、ACME 仕様の一部としての実際の状態ではありません。認識されない値を表すために使用されます。

"valid"

Valid は、ACME リソースが有効な状態にあることを示します。Order が「valid」の場合、ACME サーバーで完了しており、証明書は Order のステータス サブリソースに格納されている証明書 URL を使用して ACME サーバーから取得できます。これは最終状態です。

kubeConfig は、Kubernetes apiserver に接続するために使用される kubeconfig ファイルです。指定されていない場合、cainjector はインクラスター構成の読み込みを試みます。

設定されている場合、これは cainjector の範囲を単一の名前空間に制限します。設定されている場合、cainjector は構成された名前空間外の証明書を持つリソースを更新しません。

LeaderElectionConfig は、リーダー選出の動作を構成します。

EnableDataSourceConfig は、cainjector の制御ループが、CA データの潜在的なソースとして cert-manager リソースを監視するかどうかを決定します。

EnableInjectableConfig は、cainjector の制御ループが、CA データの注入の潜在的なターゲットとして cert-manager リソースを監視するかどうかを決定します。

cainjector のプロファイリングを有効にします。

Go プロファイラーがリッスンするホストとポート（例：localhost:6060）。プロファイラーがパブリックアドレスで公開されないようにしてください。プロファイラーは /debug/pprof で提供されます。

logging は、cainjector のログ出力動作を構成します。https://pkg.go.dev/k8s.io/component-base@v0.27.3/logs/api/v1#LoggingConfiguration

featureGates は、実験的な機能を有効または無効にするブール値への機能名のマップです。

メトリックエンドポイントがリッスンするホストとポートです。「0」はメトリックサーバーを無効にします。デフォルトは「0.0.0.0:9402」です。

metricsTLSConfig は、メトリックサーバーの TLS 設定を構成するために使用されます。

Certificates は、cainjector の制御ループが、CA データの潜在的なソースとして cert-manager Certificate リソースを監視するかどうかを決定します。設定されていない場合、デフォルトは true です。

ValidatingWebhookConfigurations は、cainjector がアノテーションされた ValidatingWebhookConfigurations に CA データを注入する制御ループを起動するかどうかを決定します。設定されていない場合、デフォルトは true です。

MutatingWebhookConfigurations は、cainjector がアノテーションされた MutatingWebhookConfigurations に CA データを注入する制御ループを起動するかどうかを決定します。設定されていない場合、デフォルトは true です。

CustomResourceDefinitions は、cainjector がアノテーションされた CustomResourceDefinitions に CA データを注入する制御ループを起動するかどうかを決定します。設定されていない場合、デフォルトは true です。

APIServices は、cainjector がアノテーションされた APIServices に CA データを注入する制御ループを起動するかどうかを決定します。設定されていない場合、デフォルトは true です。

文字列

文字列

(オプション)

標準オブジェクトのメタデータ。詳細情報: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata

Certificateリソースの desired state の仕様。 https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status

Certificateの状態。これは自動的に設定および管理されます。読み取り専用。詳細情報: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status

文字列

文字列

(オプション)

標準オブジェクトのメタデータ。詳細情報: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata

CertificateRequestリソースの desired state の仕様。 https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status

CertificateRequestの状態。これは自動的に設定および管理されます。読み取り専用。詳細情報: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status

文字列

文字列

metadata フィールドのフィールドについては、Kubernetes API ドキュメントを参照してください。

ClusterIssuerリソースの desired state。

ClusterIssuerの状態。これは自動的に設定および管理されます。

文字列

文字列

metadata フィールドのフィールドについては、Kubernetes API ドキュメントを参照してください。

Issuerリソースの desired state。

Issuerの状態。これは自動的に設定および管理されます。

SecretNameは、この発行者によって発行された証明書に署名するために使用される秘密の名前です。

CRL配布ポイントは、X.509 v3証明書拡張機能であり、この証明書の失効を確認できるCRLの場所を特定します。設定されていない場合、証明書は配布ポイントが設定されずに発行されます。

OCSPサーバーリストは、X.509 v3拡張機能であり、OCSPレスポンダのURLリストを定義します。OCSPレスポンダは、発行された証明書の失効状態を照会するために使用できます。設定されていない場合、証明書はOCSPサーバーが設定されずに発行されます。たとえば、OCSPサーバーのURLは「http://ocsp.int-x3.letsencrypt.org」です。

IssuingCertificateURLsは、この発行者が作成する証明書に埋め込むべきURLのリストです。詳細はhttps://www.rfc-editor.org/rfc/rfc5280#section-4.2.2.1を参照してください。例として、「http://ca.domain.com/ca.crt」のようなURLが考えられます。

Typeは、CertificateのターゲットSecretに書き込むべき形式の種類の名前です。

条件の種類。既知の値は（Ready、Issuing）です。

条件の状態。（True、False、Unknown）のいずれかです。

LastTransitionTimeは、この条件の最後の状態変更に対応するタイムスタンプです。

Reasonは、条件の最後の遷移に関する簡潔な機械可読の説明です。

Messageは、最後の遷移の詳細に関する人間が読める説明であり、reasonを補完します。

設定されている場合、これは条件が設定された基礎となった.metadata.generationを表します。たとえば、.metadata.generationが現在12だが、.status.condition[x].observedGenerationが9の場合、条件はCertificateの現在の状態に対して古くなっています。

"Issuing"

発行が必要な場合、Certificateリソースに追加される条件です。次の場合、この条件は自動的に追加され、trueに設定されます。* ターゲットSecretにキーペアデータが存在しない * Secretに格納されているデータがデコードできない * 秘密鍵と証明書の公開鍵が一致しない * 現在のリビジョンに対するCertificateRequestが存在し、Secretに格納されている証明書データがCertificateRequestのstatus.certificateと一致しない * 現在のリビジョンに対するCertificateRequestリソースが存在しない場合、CertificateリソースのオプションがSecret内のX.509データと比較されます（以前のバージョンで行われていたものと同様）。不一致がある場合、発行がトリガーされます。この条件は、外部APIコンシューマが他の理由で手動で再発行をトリガーする場合にも追加できます。

発行が完了すると、「issuing」コントローラーによって削除されます。

"Ready"

CertificateConditionReadyは、証明書が使用できる状態であることを示します。これは次のように定義されます。- ターゲットシークレットが存在する - ターゲットシークレットには、期限切れになっていない証明書が含まれている - ターゲットシークレットには、証明書に対して有効な秘密鍵が含まれている - commonNameとdnsNames属性は、Certificateで指定されたものと一致する

JKSは、spec.secretName SecretリソースにJKSキーストアを格納するためのオプションを構成します。

PKCS12は、spec.secretName SecretリソースにPKCS12キーストアを格納するためのオプションを構成します。

"CombinedPEM"

CertificateOutputFormatCombinedPEMは、PEM形式のCertificateの署名された証明書チェーンと秘密鍵を、tls-combined.pemターゲットSecret Dataキーに書き込みます。このキーの値には、秘密鍵PEMドキュメント、それに続く少なくとも1つの改行文字、それに続く署名された証明書PEMドキュメントのチェーンが含まれます（<private key> + \n + <signed certificate chain>）。

"DER"

CertificateOutputFormatDERは、DERバイナリ形式のCertificateの秘密鍵をkey.derターゲットSecret Dataキーに書き込みます。

RotationPolicyは、再発行処理時に秘密鍵をどのように再生成するかを制御します。

Neverに設定されている場合、秘密鍵は、ターゲットspec.secretNameにまだ存在しない場合にのみ生成されます。存在するがアルゴリズムまたはサイズが正しくない場合は、ユーザーの介入を待つ警告が表示されます。Alwaysに設定されている場合、再発行が発生するたびに、指定された要件に一致する秘密鍵が生成されます。下位互換性のために、デフォルトはNeverです。

この証明書の秘密鍵をエンコードする秘密鍵暗号化標準（PKCS）エンコーディングです。

指定されている場合、許可される値は、それぞれPKCS#1とPKCS#8を表すPKCS1とPKCS8です。指定されていない場合は、デフォルトでPKCS1になります。

Algorithmは、この証明書の対応する秘密鍵の秘密鍵アルゴリズムです。

指定されている場合、許可される値はRSA、ECDSA、Ed25519のいずれかです。algorithmが指定され、sizeが指定されていない場合、RSAキーアルゴリズムには2048のキーサイズが、ECDSAキーアルゴリズムには256のキーサイズが使用されます。Ed25519キーアルゴリズムを使用する場合は、キーサイズは無視されます。

Sizeは、この証明書の対応する秘密鍵のキービットサイズです。

algorithmがRSAに設定されている場合、有効な値は2048、4096、8192であり、指定されていない場合はデフォルトで2048になります。algorithmがECDSAに設定されている場合、有効な値は256、384、521であり、指定されていない場合はデフォルトで256になります。algorithmがEd25519に設定されている場合、Sizeは無視されます。他の値は許可されません。

条件の種類。既知の値は（Ready、InvalidRequest、Approved、Denied）です。

条件の状態。（True、False、Unknown）のいずれかです。

LastTransitionTimeは、この条件の最後の状態変更に対応するタイムスタンプです。

Reasonは、条件の最後の遷移に関する簡潔な機械可読の説明です。

Messageは、最後の遷移の詳細に関する人間が読める説明であり、reasonを補完します。

"Approved"

CertificateRequestConditionApprovedは、証明書要求が承認され、署名準備が完了したことを示します。条件の状態がFalseになることは決してなく、一度設定されると変更できません。Deniedと同時に設定することはできません。

"Denied"

CertificateRequestConditionDeniedは、証明書要求が拒否され、署名してはならないことを示します。条件の状態がFalseになることは決してなく、一度設定されると変更できません。Approvedと同時に設定することはできません。

"InvalidRequest"

CertificateRequestConditionInvalidRequestは、入力パラメーターの少なくとも1つが無効であるため、証明書署名者が要求の署名を拒否したことを示します。要求が拒否された理由に関する追加情報は、reasonフィールドとmessageフィールドにあります。

"Ready"

CertificateRequestConditionReadyは、証明書が使用できる状態であることを示します。これは次のように定義されます。- ターゲット証明書がCertificateRequest.Statusに存在する

要求された証明書の「期間」（つまり有効期間）。発行者は、他の要求された属性と同様に、要求された期間を無視することを選択する場合があります。

証明書の発行を担当する発行者への参照。発行者が名前空間スコープである場合、Certificateと同じ名前空間に存在する必要があります。発行者がクラスタスコープである場合、任意の名前空間から使用できます。

参照のnameフィールドは常に指定する必要があります。

発行者に送信して署名するPEMエンコードされたX.509証明書署名要求。

CSRにBasicConstraints拡張機能がある場合、そのisCA属性は、このCertificateRequestのisCA値と一致する必要があります。CSRにKeyUsage拡張機能がある場合、そのキーの使用法は、このCertificateRequestのusagesフィールドのキーの使用法と一致する必要があります。CSRにExtKeyUsage拡張機能がある場合、その拡張キーの使用法は、このCertificateRequestのusagesフィールドの拡張キーの使用法と一致する必要があります。

要求された基本制約isCA値。発行者は、他の要求された属性と同様に、要求されたisCA値を無視することを選択する場合があります。

注：RequestフィールドのCSRにBasicConstraints拡張機能がある場合、ここに指定されているものと同じisCA値を持つ必要があります。

trueの場合、cert signの使用法が要求されたusagesのリストに自動的に追加されます。

要求されたキーの使用法と拡張キーの使用法。

注：RequestフィールドのCSRがKeyUsageまたはExtKeyUsage拡張機能を使用する場合、これらの拡張機能は、追加の値なしで、ここに指定されているものと同じ値を持つ必要があります。

設定されていない場合、デフォルトはdigital signatureとkey enciphermentです。

Usernameには、CertificateRequestを作成したユーザーの名前が含まれています。作成時にcert-manager webhookによって設定され、変更できません。

UIDには、CertificateRequestを作成したユーザーのuidが含まれています。作成時にcert-manager webhookによって設定され、変更できません。

Groupsには、CertificateRequestを作成したユーザーのグループメンバーシップが含まれています。作成時にcert-manager webhookによって設定され、変更できません。

Extraには、CertificateRequestを作成したユーザーの追加属性が含まれています。作成時にcert-manager webhookによって設定され、変更できません。

CertificateRequestの状態を示す状態条件のリストです。既知の条件の種類はReady、InvalidRequest、Approved、Deniedです。

証明書署名要求の結果として得られた、PEMエンコードされたX.509証明書です。設定されていない場合、CertificateRequestは完了していないか、失敗しています。失敗に関する詳細情報は、conditionsフィールドを確認することで見つけることができます。

署名者のPEMエンコードされたX.509証明書（CA（認証局）とも呼ばれます）。これは、さまざまな発行者によって最善の努力で設定されます。設定されていない場合、CAは不明/利用できないと見なされます。

FailureTimeは、このCertificateRequestが失敗した時間を格納します。これは、ガベージコレクションとバックオフに影響を与えるために使用されます。

Annotationsは、ターゲットKubernetes Secretにコピーされるキーバリューマップです。

Labelsは、ターゲットKubernetes Secretにコピーされるキーバリューマップです。

要求されたX509証明書のサブジェクト属性のセット。詳細情報: https://datatracker.ietf.org/doc/html/rfc5280#section-4.1.2.6

common name属性は、commonNameフィールドで個別に指定されます。literalSubjectフィールドが設定されている場合は設定できません。

LDAPの「識別名の文字列表現」[1]を使用して表された、要求されたX.509証明書のサブジェクト。重要：LDAP文字列形式は、サブジェクト内の属性の順序も指定します。これは、LDAP認証用の証明書を発行する場合に重要です。例：CN=foo,DC=corp,DC=example,DC=com 詳細情報 [1]: https://datatracker.ietf.org/doc/html/rfc4514 詳細情報: https://github.com/cert-manager/cert-manager/issues/3203 詳細情報: https://github.com/cert-manager/cert-manager/issues/4424

subjectまたはcommonNameフィールドが設定されている場合は設定できません。

要求されたcommon name X509証明書のサブジェクト属性。詳細情報: https://datatracker.ietf.org/doc/html/rfc5280#section-4.1.2.6 注：サブジェクト代替名が設定されている場合、TLSクライアントはこの値を無視します（https://tools.ietf.org/html/rfc6125#section-6.4.4を参照）。

無効なCSRの生成を避けるために、長さは64文字以下にする必要があります。literalSubjectフィールドが設定されている場合は設定できません。

要求された証明書の「期間」（つまり有効期間）。発行者は、他の要求された属性と同様に、要求された期間を無視することを選択する場合があります。

設定されていない場合、デフォルトは90日です。最小許容期間は1時間です。値は、Go time.ParseDurationで受け入れられる単位である必要があります。https://go.dokyumento.jp/pkg/time/#ParseDuration。

現在発行されている証明書の有効期限が切れる前に、cert-managerが証明書を更新する期間。たとえば、証明書の有効期間が60分であり、renewBefore=10mの場合、cert-managerは証明書が発行されてから50分後に（つまり、証明書が無効になるまで10分残っているときに）証明書の更新を試行し始めます。

注：発行された証明書の実際の有効期間を使用して、更新時間が決定されます。発行者が要求されたものとは異なる有効期間の証明書を返す場合、cert-managerは発行された証明書の有効期間を使用します。

設定されていない場合、デフォルトは発行された証明書の有効期間の¹⁄₃です。最小許容値は5分です。値は、Go time.ParseDurationで受け入れられる単位である必要があります。https://go.dokyumento.jp/pkg/time/#ParseDuration。renewBeforePercentageフィールドが設定されている場合は設定できません。

renewBeforePercentageはrenewBeforeに似ていますが、絶対的な期間ではなく、相対的な割合です。たとえば、証明書の有効期間が60分であり、renewBeforePercentage=25の場合、cert-managerは証明書が発行されてから45分後に（つまり、証明書が無効になるまで15分（25％）残っているときに）証明書の更新を試行し始めます。

注：発行された証明書の実際の有効期間を使用して、更新時間が決定されます。発行者が要求されたものとは異なる有効期間の証明書を返す場合、cert-managerは発行された証明書の有効期間を使用します。

値は(0,100)の範囲内の整数である必要があります。renewBeforePercentageとdurationフィールドから導出される最小有効renewBeforeは5分です。renewBeforeフィールドが設定されている場合は設定できません。

要求されたDNSサブジェクト代替名。

要求されたIPアドレスサブジェクト代替名。

要求されたURIサブジェクト代替名。

otherNamesは、あらゆるタイプを許可するSANのエスケープハッチです。現在、文字列のようなotherNamesのサポートを制限しています。RFC 5280 p 37の任意のUTF8文字列値のotherNameは、キーoid: x.x.x.xとUTF8Value: somevalueをotherNameに設定することで渡すことができます。最も一般的には、oid: 1.3.6.1.4.1.311.20.2.3を使用して設定されたUPNになります。明示的に検証しないため、渡されたOIDがUTF8Stringタイプに対して有効であることを確認する必要があります。

要求されたメールサブジェクト代替名。

このCertificateリソースによって自動的に作成および管理されるSecretリソースの名前。指定された発行者によって署名された秘密鍵と証明書が格納されます。Secretリソースは、Certificateリソースと同じ名前空間に存在します。

CertificateのSecretにコピーするアノテーションとラベルを定義します。Secretのアノテーションとラベルは、追加または削除されたときにSecretTemplateに表示されるように変更されます。SecretTemplateのアノテーションは、cert-managerがCertificateのSecretに設定する基本的なアノテーションセットと組み合わせて追加され、上書きすることはできません。

CertificateのSecretに格納される追加のキーストア出力形式。

証明書の発行を担当する発行者への参照。発行者が名前空間スコープである場合、Certificateと同じ名前空間に存在する必要があります。発行者がクラスタスコープである場合、任意の名前空間から使用できます。

参照のnameフィールドは常に指定する必要があります。

要求された基本制約isCA値。isCA値は、作成されたCertificateRequestリソースのisCAフィールドを設定するために使用されます。発行者は、他の要求された属性と同様に、要求されたisCA値を無視することを選択する場合があります。

trueの場合、cert signの使用法が要求されたusagesのリストに自動的に追加されます。

要求されたキーの使用法と拡張キーの使用法。これらの使用法は、作成されたCertificateRequestリソースのusagesフィールドを設定するために使用されます。encodeUsagesInRequestが設定されていないか、trueに設定されている場合、使用法はCSR BLOBを含むrequestフィールドにもエンコードされます。

設定されていない場合、デフォルトはdigital signatureとkey enciphermentです。

秘密鍵のオプション。これには、キーアルゴリズムとサイズ、使用されるエンコーディング、ローテーションポリシーが含まれます。

エンコードされたCSRにKeyUsageとExtKeyUsage拡張を設定するかどうか。

このオプションのデフォルトはtrueであり、ターゲット発行者がこれらのX509 KeyUsage/ExtKeyUsage拡張機能を含むCSRをサポートしていない場合にのみ無効にする必要があります。

Certificateの履歴に保持されるCertificateRequestリビジョンの最大数。各リビジョンは、作成時、更新時、または仕様の変更時にこのCertificateによって作成された単一のCertificateRequestを表します。リビジョンの数がこの数を上回ると、最も古いリビジョンから削除されます。

設定されている場合、revisionHistoryLimitは1以上の値である必要があります。設定されていない場合（nil）、リビジョンはガベージコレクションされません。デフォルト値はnilです。

このCertificateのターゲットSecretに書き込む秘密鍵と署名済み証明書チェーンの追加の出力形式を定義します。

これはデフォルトで有効になっているベータ機能です。コントローラーコンポーネントとWebhookコンポーネントの両方で--feature-gates=AdditionalCertificateOutputFormats=falseオプションを設定して無効にすることができます。

非CA証明書では使用してはならないx.509証明書NameConstraint拡張。詳細情報: https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.10

これはアルファ機能であり、コントローラーコンポーネントとWebhookコンポーネントの両方で--feature-gates=NameConstraints=trueオプションを設定した場合にのみ有効になります。

証明書の状態を示す状態条件のリストです。既知の条件の種類はReadyとIssuingです。

LastFailureTimeは、このCertificateの最新の発行が失敗した場合にのみ設定され、失敗の時間を含みます。発行が失敗した場合、次回の発行までの遅延は、式time.Hour * 2 ^ (failedIssuanceAttempts - 1)を使用して計算されます。最新の発行が成功した場合、このフィールドは設定解除されます。

このリソースのspec.secretNameで指定されたSecretに格納されている証明書が有効になる時刻です。

このリソースのspec.secretNameで指定されたSecretに格納されている証明書の有効期限です。

RenewalTimeは、証明書が次に更新される時刻です。設定されていない場合、今後の更新はスケジュールされていません。

発行された証明書の現在の「リビジョン」です。

CertificateRequestリソースが作成されると、cert-manager.io/certificate-revisionは、このフィールドの現在の値よりも1大きい値に設定されます。

このフィールドは、証明書を発行するために使用されたCertificateRequestリソースの注釈の値に設定されます。

CertificateRequestリソースに値を保持することで、証明書コントローラーは、注釈内のrevision値がこのフィールドより大きいかどうかをチェックすることにより、リクエストが古い発行の一部であるか、進行中のrevisionの発行の一部であるかを判断できます。

次の証明書の繰り返しで使用される秘密鍵を含むSecretリソースの名前。Issuing条件がTrueに設定されている場合、keymanagerコントローラーは自動的にこのフィールドを設定します。Issuing条件が設定されていないかFalseの場合、このフィールドは自動的にアンセットされます。

これまでの連続した発行失敗試行回数。このフィールドは、発行が成功すると（設定されている場合）削除され、発行が失敗した場合は未設定で1に設定されます。発行が失敗した場合、次回の発行までの遅延は、time.Hour * 2 ^ (failedIssuanceAttempts - 1)という式を使用して計算されます。

条件のタイプ。既知の値は（Ready）です。

条件の状態。（True、False、Unknown）のいずれかです。

LastTransitionTimeは、この条件の最後の状態変更に対応するタイムスタンプです。

Reasonは、条件の最後の遷移に関する簡潔な機械可読の説明です。

Messageは、最後の遷移の詳細に関する人間が読める説明であり、reasonを補完します。

設定されている場合、これは条件が設定された基礎となる.metadata.generationを表します。例えば、.metadata.generationが現在12だが、.status.condition[x].observedGenerationが9の場合、条件はIssuerの現在の状態に対して古くなっています。

"Ready"

IssuerConditionReadyは、特定のIssuer条件が準備完了状態で、証明書を発行できることを表します。この条件のstatusがFalseの場合、CertificateRequestコントローラーは証明書の署名試行を防止する必要があります。

ACMEは、この発行者をRFC8555（ACME）サーバーと通信して署名付きx509証明書を取得するように設定します。

CAは、Secretリソースに格納されている署名CAキーペアを使用して証明書に署名するようにこの発行者を設定します。これは、cert-managerによって管理される内部PKIを構築するために使用されます。

Vaultは、HashiCorp Vault PKIバックエンドを使用して証明書に署名するようにこの発行者を設定します。

SelfSignedは、CertificateRequestオブジェクトの作成に使用された秘密鍵を使用して証明書を「自己署名」するようにこの発行者を設定します。

Venafiは、Venafi TPPまたはVenafi Cloudポリシーゾーンを使用して証明書に署名するようにこの発行者を設定します。

(IssuerConfigのメンバーはこのタイプに埋め込まれています。)

CertificateRequestの状態を示す状態条件のリスト。既知の条件タイプはReadyです。

ACME固有の状態オプション。このフィールドは、発行者が証明書の発行にACMEサーバーを使用するように設定されている場合にのみ設定する必要があります。

Createは、証明書に対してJKSキーストアの作成を有効にします。Trueの場合、passwordSecretRefに格納されているパスワードを使用して暗号化されたkeystore.jksという名前のファイルがターゲットSecretリソースに作成されます。キーストアファイルはすぐに更新されます。発行者がCA証明書を提供した場合、passwordSecretRefに格納されているパスワードを使用して暗号化され、発行元証明機関を含むtruststore.jksという名前のファイルもターゲットSecretリソースに作成されます。

PasswordSecretRefは、JKSキーストアの暗号化に使用されるパスワードを含むSecretリソース内のキーへの参照です。

Aliasは、キーストア内のキーのエイリアスを指定します。JKS形式で必要です。指定しない場合、デフォルトのエイリアスcertificateが使用されます。

"any"

"crl sign"

"cert sign"

"client auth"

"code signing"

"content commitment"

"data encipherment"

"decipher only"

"digital signature"

"email protection"

"encipher only"

"ipsec end system"

"ipsec tunnel"

"ipsec user"

"key agreement"

"key encipherment"

"microsoft sgc"

"netscape sgc"

"ocsp signing"

"s/mime"

"server auth"

"signing"

"timestamping"

DNSDomainsは、許可または除外されるDNSドメインのリストです。

IPRangesは、許可または除外されるIP範囲のリストです。有効なCIDR表記である必要があります。

EmailAddressesは、許可または除外されるメールアドレスのリストです。

URIDomainsは、許可または除外されるURIドメインのリストです。

trueの場合、名前の制約は重要としてマークされます。

Permittedには、名前が存在する必要がある制約が含まれています。

Excludedには、許可されない制約が含まれています。excludedフィールドの制限に一致する名前は、permittedに表示される情報に関係なく無効です。

OIDは、otherName SANのオブジェクト識別子です。オブジェクト識別子は、ドット付き文字列（例：「1.2.840.113556.1.4.221」）で表す必要があります。

utf8Valueは、otherName SANの文字列値です。utf8Valueは、otherName SANの値として設定する有効なUTF8文字列を受け入れます。

Createは、証明書に対してPKCS12キーストアの作成を有効にします。Trueの場合、passwordSecretRefに格納されているパスワードを使用して暗号化されたkeystore.p12という名前のファイルがターゲットSecretリソースに作成されます。キーストアファイルはすぐに更新されます。発行者がCA証明書を提供した場合、passwordSecretRefに格納されているパスワードを使用して暗号化され、発行元証明機関を含むtruststore.p12という名前のファイルもターゲットSecretリソースに作成されます。

PasswordSecretRefは、PKCS12キーストアの暗号化に使用されるパスワードを含むSecretリソース内のキーへの参照です。

Profileは、PKCS12キーストアの作成に使用されるキーと証明書の暗号化アルゴリズム、およびHMACアルゴリズムを指定します。下位互換性のために、デフォルト値はLegacyRC2です。

指定されている場合、許可される値は次のとおりです。LegacyRC2：非推奨。OpenSSL 3またはJava 20ではデフォルトでサポートされていません。LegacyDES：セキュリティの低いアルゴリズム。最大限の互換性のためにこのオプションを使用してください。Modern2023：安全なアルゴリズム。常に安全なアルゴリズムを使用する必要がある場合（例：会社のポリシーのため）は、このオプションを使用してください。実際には、アルゴリズムのセキュリティはそれほど重要ではありません。暗号化されていない証明書と秘密鍵もSecretに格納されるためです。

"LegacyDES"

参照: https://pkg.go.dev/software.sslmate.com/src/go-pkcs12#LegacyDES

"LegacyRC2"

参照: https://pkg.go.dev/software.sslmate.com/src/go-pkcs12#LegacyRC2

"Modern2023"

参照: https://pkg.go.dev/software.sslmate.com/src/go-pkcs12#Modern2023

"ECDSA"

ECDSA秘密鍵アルゴリズム。

"Ed25519"

Ed25519秘密鍵アルゴリズム。

"RSA"

RSA秘密鍵アルゴリズム。

"PKCS1"

PKCS1秘密鍵エンコーディング。PKCS1は、ヘッダーに秘密鍵アルゴリズム、本文に秘密鍵を含むPEMブロックを生成します。これを用いる鍵は、BEGIN RSA PRIVATE KEYまたはBEGIN EC PRIVATE KEYヘッダーで認識できます。注：このエンコーディングはEd25519キーではサポートされていません。Ed25519キーでこのエンコーディングを使用しようとすると、無視され、PKCS8がデフォルトになります。

"PKCS8"

PKCS8秘密鍵エンコーディング。PKCS8は、静的なヘッダーと、秘密鍵アルゴリズムと秘密鍵の両方を本文に含むPEMブロックを生成します。このエンコーディングを使用するキーは、BEGIN PRIVATE KEYヘッダーで認識できます。

CRL配布ポイントは、この証明書の失効をチェックできるCRLの場所を識別するX.509 v3証明書拡張です。設定されていない場合、証明書はCDPなしで発行されます。値は文字列です。

トークンを要求するために使用される ServiceAccount の名前です。

TokenAudiencesは、Vaultに渡されるトークンに含める追加のaudienceのオプションリストです。発行者の名前空間と名前で構成されるデフォルトのトークンは常に含まれます。

VaultにApp Role認証バックエンドがマウントされているパス（例：「approle」）。

Vaultで認証バックエンドを設定する際にApp Role認証バックエンドで設定されたRoleID。

Vaultとの認証に使用されるApp Roleシークレットを含むSecret内のキーへの参照。keyフィールドを指定する必要があり、Secretリソース内のどのエントリがアプリロールシークレットとして使用されるかを表します。

TokenSecretRefは、トークンを提示してVaultを認証します。

AppRoleは、Kubernetes Secretリソースに格納されているロールとシークレットを使用して、App Role認証メカニズムを使用してVaultを認証します。

ClientCertificateは、リクエストのTLSハンドシェイク中にクライアント証明書を提示してVaultを認証します。HTTPSプロトコルを使用する場合にのみ機能します。

Kubernetesは、名前付きSecretリソースに格納されているServiceAccountトークンをVaultサーバーに渡すことでVaultを認証します。

Vault の mountPath は、Vault 認証時に使用するマウントパスです。例えば、値を/v1/auth/fooに設定すると、パス/v1/auth/foo/loginを使用して Vault を認証します。指定しない場合、デフォルト値の "/v1/auth/cert" が使用されます。

TLS クライアント認証を使用して Vault を認証するために使用される、「kubernetes.io/tls」タイプの Kubernetes Secret への参照（そのため、tls.crt と tls.key を含みます）。

認証対象の証明書ロールの名前。設定されていない場合、使用可能な場合は任意の証明書ロールと一致させます。

Auth は、cert-manager が Vault サーバーでどのように認証するかを構成します。

Server は Vault サーバーの接続アドレスです。例：「https://vault.example.com:8200」。

Path は Vault PKI バックエンドのsignエンドポイントのマウントパスです。例：「my_pki_mount/sign/my-role-name」。

Vault 名前空間の名前。名前空間は、Vault Enterprise 内の機能のセットであり、Vault 環境がセキュアなマルチテナントをサポートできるようにします。例：「ns1」。名前空間の詳細については、https://www.vaultproject.io/docs/enterprise/namespaces を参照してください。

Vault から提示される証明書チェーンの検証に使用される、PEM CA の Base64 エンコードされたバンドル。Vault への接続に HTTPS を使用する場合にのみ使用され、HTTP 接続の場合は無視されます。CABundleSecretRef とは相互に排他的です。CABundle と CABundleSecretRef のどちらも定義されていない場合、cert-manager コントローラーコンテナ内の証明書バンドルを使用して TLS 接続を検証します。

HTTPS を使用する場合に、Vault から提示される証明書チェーンの検証に使用される、PEM エンコードされた CA のバンドルを含む Secret への参照。CABundle とは相互に排他的です。CABundle と CABundleSecretRef のどちらも定義されていない場合、cert-manager コントローラーコンテナ内の証明書バンドルを使用して TLS 接続を検証します。Secret のキーが指定されていない場合、cert-manager はデフォルトで「ca.crt」を使用します。

Vault サーバーが mTLS を要求する場合に使用する、PEM エンコードされたクライアント証明書を含む Secret への参照。

Vault サーバーが mTLS を要求する場合に使用する、PEM エンコードされたクライアント秘密鍵を含む Secret への参照。

Vault の mountPath は、Vault 認証時に使用するマウントパスです。例えば、値を/v1/auth/fooに設定すると、パス/v1/auth/foo/loginを使用して Vault を認証します。指定しない場合、デフォルト値の "/v1/auth/kubernetes" が使用されます。

Vault 認証に使用される Kubernetes ServiceAccount JWT を含む、必須の Secret フィールド。「環境認証情報」の使用はサポートされていません。

バインドトークン（「投影トークン」とも呼ばれる）を要求するために使用されるサービスアカウントへの参照。「secretRef」を使用する場合と比較して、このフィールドを使用すると、静的にバインドされたトークンに依存しなくなります。このフィールドを使用するには、cert-manager がトークンを要求できるように RBAC ルールを構成する必要があります。

想定する Vault ロールを含む必須フィールド。ロールは、Kubernetes ServiceAccount と一連の Vault ポリシーをバインドします。

URL は Venafi Cloud の基本 URL です。デフォルトは「https://api.venafi.cloud/v1」。

APITokenSecretRef は、Venafi Cloud API トークンのシークレットキーセレクターです。

Zone は、この発行者に対して使用する Venafi ポリシーゾーンです。Venafi プラットフォームに対して行われるすべての要求は、名前付きゾーンポリシーによって制限されます。このフィールドは必須です。

TPP は、Trust Protection Platform の設定を指定します。TPP と Cloud のいずれか一方のみを指定できます。

Cloud は、Venafi Cloud の設定を指定します。TPP と Cloud のいずれか一方のみを指定できます。

URL は、Venafi TPP インスタンスの vedsdk エンドポイントの基本 URL です。例：「https://tpp.example.com/vedsdk」。

CredentialsRef は、Venafi TPP API 資格情報を含む Secret への参照です。シークレットには、アクセストークン認証の場合はキー「access-token」、APIキー認証の場合はキー「username」と「password」の2つのキーを含める必要があります。

TPP サーバーから提示される証明書チェーンの検証に使用される、PEM CA の Base64 エンコードされたバンドル。HTTPS を使用する場合にのみ使用され、HTTP の場合は無視されます。定義されていない場合、cert-manager コントローラーコンテナ内の証明書バンドルを使用してチェーンを検証します。

TPP サーバーから提示される証明書チェーンの検証に使用される、PEM CA の Base64 エンコードされたバンドルを含む Secret への参照。HTTPS を使用する場合にのみ使用され、HTTP の場合は無視されます。CABundle とは相互に排他的です。CABundle と CABundleSecretRef のどちらも定義されていない場合、cert-manager コントローラーコンテナ内の証明書バンドルを使用して TLS 接続を検証します。

証明書で使用される組織。

証明書で使用される国。

証明書で使用される組織単位。

証明書で使用される都市。

証明書で使用される州/県。

証明書で使用される住所。

証明書で使用される郵便番号。

証明書で使用されるシリアル番号。

各ネームサーバーは、標準的な再帰的 DNS サーバーの IP アドレスとポート、または RFC 8484 DNS over HTTPS エンドポイントへのエンドポイントのいずれかになります。例えば、以下の値は有効です。 - "8.8.8.8:53" (標準 DNS) - "https://1.1.1.1/dns-query" (DNS over HTTPS)

true の場合、cert-manager は ACME DNS01 自己チェックを実行するために、構成済みの DNS リゾルバーのみをクエリします。これは、権限のあるネームサーバーへのアクセスが制限されている DNS 制約環境で役立ちます。このオプションを有効にすると、再帰的ネームサーバーによって実行されるキャッシングのために、DNS01 自己チェックに時間がかかる場合があります。

コントローラーが伝播チェックの間待機する期間。名前とは異なり、このフラグは DNS01 と HTTP01 の両方のチャレンジ伝播チェックの待機期間を構成するために使用されます。DNS01 チャレンジの場合、伝播チェックは、チャレンジトークンを含む TXT レコードが作成されたことを検証します。HTTP01 チャレンジの場合、伝播チェックは、チャレンジトークンがチャレンジURLで提供されていることを検証します。これは有効な期間文字列である必要があります。例：180s または 1h

ACME HTTP01 チャレンジを解決するために使用する Docker イメージ。新しい機能をテストしたり、cert-manager を開発したりする場合を除き、このパラメーターを変更する必要はほとんどありません。

新しい ACME HTTP01 チャレンジソルバーポッドを生成する際の、リソース要求 CPU サイズを定義します。

新しい ACME HTTP01 チャレンジソルバーポッドを生成する際の、リソース要求メモリサイズを定義します。

新しい ACME HTTP01 チャレンジソルバーポッドを生成する際の、リソース制限 CPU サイズを定義します。

新しい ACME HTTP01 チャレンジソルバーポッドを生成する際の、リソース制限メモリサイズを定義します。

問題のトラブルシューティングのために、http01 ソルバーを root として実行する機能を定義します。

ACME HTTP01 チェック要求に使用される、コンマ区切りの DNS サーバーエンドポイントのリスト。これは、ホストとポートを含むリストである必要があります。例：["8.8.8.8:53","8.8.4.4:53"] HTTP01 チェックを実行するカスタムネームサーバーのリストを指定できます。

kubeConfig は、Kubernetes apiserver に接続するために使用される kubeconfig ファイルです。指定されていない場合、コントローラーはインクラスタ構成の読み込みを試みます。

apiServerHost は、API サーバーの接続アドレスをオーバーライドするために使用されます。非推奨：代わりにkubeConfigを使用してください。

Kubernetes apiserver への最大クエリ毎秒のリクエストを示します。TODO: 浮動小数点は推奨されません。resource.Quantity を使用する方が良いかもしれませんか？https://kubernetes.io/docs/reference/kubernetes-api/common-definitions/quantity/

Kubernetes apiserver に送信されるリクエストの最大バーストクエリ毎秒。

設定されている場合、これは cert-manager の範囲を単一の名前空間に制限し、ClusterIssuer は無効になります。指定されていない場合、すべて名前空間が監視されます。

ClusterIssuer など、クラスタスコープのリソースが所有するリソースを格納するための名前空間。

LeaderElectionConfig は、リーダー選出の動作を構成します。

有効にするコントローラーのリスト。['*'] はすべてのコントローラーを有効にし、['foo'] は foo コントローラーのみを有効にし、['*', '-foo'] は foo という名前のコントローラーを無効にします。

発行者が環境認証情報を使用できるかどうか。'環境認証情報'とは、Issuer API オブジェクトに明示的に構成されていない、環境、メタデータサービス、またはローカルファイルから取得された認証情報です。このフラグが有効になっている場合、次の認証情報ソースも使用されます。AWS - Go SDK がデフォルトで使用するすべてのソース、特にインスタンスメタデータから利用可能な EC2 IAM ロールを含みます。

クラスタ発行者が発行者に対して環境クレデンシャルを使用できるかどうか。'環境クレデンシャル'とは、ClusterIssuer APIオブジェクトに明示的に設定されていない環境、メタデータサービス、またはローカルファイルから取得されるクレデンシャルです。このフラグを有効にすると、以下のクレデンシャルソースも使用されます。AWS - Go SDKがデフォルトで使用するすべてのソース、特にインスタンスメタデータから利用可能なEC2 IAMロールを含みます。

TLS証明書が保存されているシークレットの所有者として証明書リソースを設定するかどうか。このフラグを有効にすると、証明書リソースが削除されたときにシークレットが自動的に削除されます。

cert-manager内でGateway API統合が有効になっているかどうか。ExperimentalGatewayAPISupportフィーチャゲートも有効にする必要があります（1.15以降はデフォルト）。

アノテーションのキー接頭辞のリストを渡すことで、CertificateからCertificateRequestとOrderへ、およびCertificateSigningRequestからOrderへコピーするアノテーションを指定します。ダッシュ(-)で始まる接頭辞は、コピーしないアノテーションを指定します。例：’*,-kubectl.kubernetes.io/’ - 'kubectl.kubernetes.io/'で始まるキーを除くすべてのアノテーションがコピーされます。

各コントローラーの同時ワーカー数。

一度に'処理中'としてスケジュールできるチャレンジの最大数。

メトリクスエンドポイントがリスンするホストとポート。

メトリクスエンドポイントのTLS設定

healthzサーバーがリスンするホストとポートアドレス（':'で区切る）。

コントローラーのプロファイリングを有効にする。

Go プロファイラーがリッスンするホストとポート（例：localhost:6060）。プロファイラーがパブリックアドレスで公開されないようにしてください。プロファイラーは /debug/pprof で提供されます。

loggingはコントローラーのロギング動作を設定します。https://pkg.go.dev/k8s.io/component-base@v0.27.3/logs/api/v1#LoggingConfiguration

featureGates は、実験的な機能を有効または無効にするブール値への機能名のマップです。

ingressShimConfigはingress-shimコントローラーの動作を設定します。

acmeHTTP01ConfigはACME HTTP01チャレンジソルバーの動作を設定します。

acmeDNS01ConfigはACME DNS01チャレンジソルバーの動作を設定します。

ingress-shimが使用するデフォルトの発行者/証明書の詳細。TLSが要求されたが、ingressリソースに発行者名が指定されていない場合に使用する発行者の名前。

TLSが要求されたが、ingressリソースに発行者の種類が指定されていない場合に使用する発行者の種類。

TLSが要求されたが、ingressリソースに発行者のグループが指定されていない場合に使用する発行者のグループ。

ingress-shimコントローラーが、ingressが証明書を要求していることを示すために使用するアノテーション。

(LeaderElectionConfigのメンバーは、この型に埋め込まれています。)

リースが期限切れになった後、このタイムアウト期間内のリーダー選出healthzチェックは依然として正常を返します。

"False"

ConditionFalseは、特定の条件が偽であることを表します。

"True"

ConditionTrueは、特定の条件が真であることを表します。

"Unknown"

ConditionUnknownは、特定の条件が不明であることを表します。

参照されているリソースの名前。詳細情報: https://kubernetes.io/docs/concepts/overview/working-with-objects/names/#names

参照されているリソースの名前。

参照されているリソースの種類。

参照されているリソースのグループ。

(LocalObjectReferenceのメンバーは、この型に埋め込まれています。)

参照されているSecretリソースの名前。

使用するSecretリソースのdataフィールドのエントリのキー。このフィールドの中にはデフォルト値が設定されているものもあれば、必須のものもあります。

securePortは、kube-apiserverからの安全なTLS接続をリスンするポート番号です。0の場合、使用可能なランダムポートが選択されます。デフォルトは6443です。

healthzPortは、healthz接続のために（プレーンテキストHTTPを使用して）リスンするポート番号です。0の場合、使用可能なランダムポートが選択されます。デフォルトは6080です。

tlsConfigは、安全なリスナーのTLS設定を構成するために使用されます。

kubeConfigは、Kubernetes apiserverに接続するために使用されるkubeconfigファイルです。指定されていない場合、Webhookはインクラスタ設定の読み込みを試みます。

apiServerHost は、API サーバーの接続アドレスをオーバーライドするために使用されます。非推奨：代わりにkubeConfigを使用してください。

enablePprofは、pprofが有効かどうかを設定します。

pprofAddressは、有効な場合に/debug/pprofエンドポイントが提供されるアドレスを設定します。デフォルトは'localhost:6060'です。

loggingはWebhookのロギング動作を設定します。https://pkg.go.dev/k8s.io/component-base@v0.27.3/logs/api/v1#LoggingConfiguration

featureGates は、実験的な機能を有効または無効にするブール値への機能名のマップです。

メトリックエンドポイントがリッスンするホストとポートです。「0」はメトリックサーバーを無効にします。デフォルトは「0.0.0.0:9402」です。

metricsTLSConfig は、メトリックサーバーの TLS 設定を構成するために使用されます。