CLoud сертификат-менеджер против службы SSL - PullRequest
0 голосов
/ 27 ноября 2018

Не могли бы вы помочь разобраться в следующих вопросах, касающихся службы менеджера сертификатов IBM Cloud: -

1) Как менеджер сертификатов IBM CLoud хранит сертификаты за кулисами?Есть ли HSM или что-то еще, что выступает в качестве бэкэнда для диспетчера сертификатов?Любая документация / ссылка будет полезна.Просьба сообщить

2) Чем он отличается от службы SSL, например, для применения TLS, сертифицированного в IBM Cloud Load Balancer, у нас есть возможность загрузить сертификат / закрытый ключ в службу SSL, в идеале, если он не обрабатываетсяСам менеджер сертификатов?Помогите, пожалуйста, понять пример использования, например, когда использовать службу SSL против диспетчера сертификатов?

Ответы [ 3 ]

0 голосов
/ 28 ноября 2018

Другой запрос, у нас есть требование, когда наши развернутые POD в кластере K8S хотят получить доступ к ключам, хранящимся в диспетчере сертификатов, есть ли способ, которым мы можем достичь этого с помощью API.В соответствии с пониманием, мы можем использовать секрет K8S для развертывания сертификатов SSL через Ingress Controller, но нам не ясно, как включить доступ по сертификатам для POD, развернутых в K8S

0 голосов
/ 16 декабря 2018

Да, вы можете использовать интерфейс командной строки IBM Kubernetes: https://console.bluemix.net/docs/containers/cs_ingress.html#ingress Искать 'Диспетчер сертификатов' в документе.

Также см. Этот блог для учебника: https://www.ibm.com/blogs/bluemix/2018/10/add-custom-domain-and-tls-certificate-to-your-secure-cloud-app/

0 голосов
/ 27 ноября 2018

Вот несколько ответов.Надеюсь, они помогут:

1) В службе IBM Cloud Certificate Manager сертификаты SSL и связанные с ними закрытые ключи хранятся в зашифрованном виде в базе данных, а не в HSM.Корневой ключ, используемый для шифрования секретных ключей SSL, хранится в HSM.Причина, по которой закрытые ключи SSL отсутствуют в HSM, заключается в том, что в конечном итоге сертификаты и ключи необходимо развернуть из диспетчера сертификатов на конечные точки, которые выполняют завершение SSL, где сертификаты не хранятся в HSM.

2)Если вы имеете в виду службу SSL-сертификатов в IBM Cloud - эта служба позволяет вам заказывать SSL-сертификаты у партнерских центров сертификации.Служба IBM Cloud Certificate Manager отличается - это служба, которая служит безопасным хранилищем для ваших сертификатов и является инструментом управления жизненным циклом сертификатов. Она отправляет вам упреждающие уведомления до истечения срока действия ваших сертификатов, чтобы помочь вам избежать сбоев, дает вамвидимость имеющихся у вас сертификатов и их использования (включая частные и клиентские сертификаты, которые вы храните в диспетчере сертификатов), а также API-интерфейсы для развертывания сертификатов в точках завершения SSL.В IBM Kubernetes Service или в IBM API Connect вы можете напрямую выбрать сертификат, который вы хотите развернуть, из диспетчера сертификатов, а не загружать сертификат и ключ непосредственно в эти службы. Если вы хотите заказать сертификат, вы можете сделать это из службы SSL Certificate.и затем импортируйте его и управляйте им в службе диспетчера сертификатов.

Я являюсь частью команды IBM Cloud Certificate Manager

...