您能否通过IBM Cloud Certificate Manager服务帮助理解以下问题:-
1)IBM CLoud证书管理器如何将证书存储在幕后?是否有任何HSM或其他可用作证书管理器的后端?任何文档/参考链接都将有所帮助。请告知
2)与SSL服务有何不同,例如在IBM Cloud Load Balancer上应用TLS认证的证书,我们可以选择上传证书/私钥到SSL服务,理想情况下,它不应该由证书管理器本身来处理吗?请帮助了解用例,例如何时使用SSL服务和证书管理器?
答案 0 :(得分:1)
以下是一些答案。希望他们能提供帮助:
1)在IBM Cloud Certificate Manager服务中,SSL证书及其关联的私钥以加密方式存储在数据库中,而不是在HSM中。用于加密SSL私钥的根密钥存储在HSM中。 SSL私钥不在HSM中的原因是,最终需要将证书和密钥从Certificate Manager部署到执行SSL终止的端点,在该端点中证书不保留在HSM中。
2)如果您引用的是IBM Cloud中的SSL证书服务,则该服务允许您从合作伙伴证书颁发机构订购SSL证书。 IBM Cloud Certificate Manager服务是不同的-它是充当证书的安全存储库的服务,并且是证书生命周期管理工具-它在证书过期之前向您发送主动通知,以帮助您避免中断,并为您提供可以查看您拥有的证书及其使用位置(包括存储在证书管理器中的私有证书和客户端证书),以及将证书部署到SSL终结点的API。在IBM Kubernetes Service或IBM API Connect中,您可以直接从证书管理器中选择要部署的证书,而不是直接在这些服务中上载证书和密钥。如果要订购证书,可以从SSL证书服务中进行。 ,然后将其导入并在证书管理器服务中进行管理。
我是IBM云证书管理器团队的成员
答案 1 :(得分:0)
另一个查询,我们有一个要求,即我们在K8S集群中部署的POD要访问存储在证书管理器中的密钥,有没有一种方法可以使用API来实现呢?据了解,我们可以利用K8S机密在Ingress Controller上部署SSL证书,但我们尚不清楚如何启用对K8S中部署的POD的证书访问权限
答案 2 :(得分:0)
是的,您可以使用IBM Kubernetes CLI:https://console.bluemix.net/docs/containers/cs_ingress.html#ingress 在文档中搜索“证书管理器”。
另请参阅此博客以获取教程: https://www.ibm.com/blogs/bluemix/2018/10/add-custom-domain-and-tls-certificate-to-your-secure-cloud-app/