19｜Vault（三）：一站式证书管理解决方案

1. TLS证书的申请流程包括创建证书签名请求（CSR）和携带CSR到证书颁发机构申请证书。 2. 证书颁发机构需要进行身份验证，并签发包含申请者公钥和其他身份信息的数字证书。 3. 企业内部的CA系统具有成本控制、灵活性和安全性等优势，适用于大规模证书管理。 4. 证书的生命周期管理涉及创建、部署、过期和更新，需要精确执行，但缺乏自动化机制是一大挑战。 5. Vault的PKI密钥引擎提供完整的X.509证书签发和管理功能，可作为内部CA或中间CA来签发证书。 6. 配置Vault作为CA需要启用PKI秘密引擎、配置证书和私钥，并设置证书签发角色。 7. Cert-Manager与Vault的集成是关键，特别是在Kubernetes环境中，通过Issuer资源定义与特定CA的通信方式。 8. Cert-Manager使用插件式架构，允许通过Issuer资源与各种外部系统集成，包括Vault。 9. 在Vault中启用PKI引擎、配置CA证书和角色，创建Kubernetes身份验证角色，允许Cert-Manager使用该角色访问Vault。 10. Cert-Manager通过访问令牌调用Vault PKI引擎的签发接口，提交证书签发请求，将签发的证书存储在Kubernetes Secrets中。