Rancher项目中基于CertManager实现私有证书自动化管理的实践指南

在Kubernetes生态中，Rancher作为多集群管理平台，其WebUI的HTTPS访问安全性至关重要。本文深入探讨在隔离环境（AirGapped）下，如何通过CertManager实现私有CA证书的全生命周期自动化管理，解决传统手动证书管理的痛点。

核心挑战分析

传统Rancher部署方案提供三种HTTPS证书配置方式：

1. Let's Encrypt自动证书（依赖公网）
2. Rancher自生成证书（内置CA）
3. 自带证书（BYO）

在隔离网络环境中，前两种方案均不可行。官方文档虽提及自带证书方案，但仅说明手动创建Secret的方式，缺乏对自动化工具链的支持说明，这在实际生产环境中会带来证书轮换、续期等管理难题。

CertManager集成方案

通过CertManager可实现证书的自动化签发和更新，关键配置步骤如下：

1. 创建自签名ClusterIssuer

apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: internal-ca-issuer
spec:
  selfSigned: {}

此Issuer适用于隔离环境测试，实际生产可替换为私有CA类型的Issuer。

2. 签发Rancher服务证书

apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: rancher-web-cert
  namespace: cattle-system
spec:
  secretName: rancher-tls
  issuerRef:
    name: internal-ca-issuer
    kind: ClusterIssuer
  commonName: rancher.internal.domain
  dnsNames:
  - rancher.internal.domain

证书将自动存储到指定Secret，并保持自动续期。

3. 关键配置注意事项

• privateCA参数：必须设置为false，否则Rancher会强制检查特定路径的CA证书文件
• Ingress配置：直接引用CertManager生成的Secret

tls:
- hosts:
  - rancher.internal.domain
  secretName: rancher-tls

生产环境建议

1. CA层级：测试环境可使用自签名证书，生产环境建议部署私有CA体系
2. 证书监控：配置CertManager的告警规则，监控证书过期时间
3. 安全加固：通过NetworkPolicy限制证书Secret的访问范围
4. 灾备方案：定期备份CertManager的签发记录和密钥材料

实现价值

该方案显著提升了证书管理的：

• 自动化程度：自动续期避免服务中断
• 安全性：定期轮换密钥符合安全规范
• 可审计性：所有证书操作留痕
• 一致性：统一证书管理界面

通过这种方案，即使在严格隔离的网络环境中，也能构建符合企业安全要求的证书管理体系。对于需要更高安全级别的场景，可进一步集成HashiCorp Vault作为证书颁发后端。