cert-manager 自定义证书配置：Webhook TLS 证书管理实践

在 Kubernetes 集群中使用 cert-manager 时，Webhook 组件的 TLS 证书管理是一个关键的安全配置环节。cert-manager 默认采用动态证书机制，但在某些企业环境中，管理员可能需要使用自定义的静态证书来满足特定的安全合规要求。

动态证书与静态证书的配置差异

cert-manager 的 Webhook 组件支持两种 TLS 证书配置方式：

1. 动态证书模式：默认配置，由 cert-manager 自动生成和管理证书
2. 静态证书模式：使用管理员提供的预生成证书文件

这两种模式在设计上是互斥的，不能同时启用。当尝试同时配置时，系统会返回"cannot specify both filesystem based and dynamic TLS configuration"错误。

静态证书的配置方法

要通过 Helm 部署 cert-manager 并使用静态证书，需要在 values.yaml 文件中进行以下配置：

webhook:
  tlsConfig:
    filesystem:
      certFile: "/path/to/cert.pem"
      keyFile: "/path/to/key.pem"

这种配置方式虽然有效，但在官方文档中缺乏详细说明，容易给用户带来困惑。

配置注意事项

1. 证书文件权限：确保 Webhook Pod 有权限读取证书文件
2. 证书格式：必须使用 PEM 编码格式
3. 证书轮换：静态证书不会自动轮换，需要管理员手动管理
4. 兼容性：此配置方式在所有 cert-manager 版本中都可用

最佳实践建议

对于生产环境，建议考虑以下实践：

1. 使用企业级 CA 签发的证书，增强信任链
2. 建立证书过期监控机制
3. 制定明确的证书轮换流程
4. 在开发环境测试证书配置后再部署到生产

通过合理配置 Webhook 的 TLS 证书，可以更好地满足企业安全合规要求，同时确保 cert-manager 各组件间的安全通信。