K8s证书管理

技能简介

本技能基于kubectl-mcp-server的cert-manager工具集，提供Kubernetes集群中TLS证书的全生命周期管理能力。支持证书查询、签发器配置、故障排查及与Ingress的自动化集成。

业务背景

运维团队常因证书过期导致服务中断，手动续期效率低且易遗漏。本技能实现TLS证书全生命周期自动化管理，支持证书状态监控、自动续期及Ingress联动，消除人工巡检负担，保障业务连续性，降低安全合规风险。

落地案例：某电商平台使用Let's Encrypt为多个子域名签发证书。通过本技能配置生产环境签发器并绑定Ingress注解，新上线活动页自动完成证书申请；同时设置到期预警，运维人员可在控制台一键查看所有证书有效期与续期状态，无需登录集群逐条排查。

能做什么

• 列出并查看证书详情（状态、过期时间、DNS名称）
• 创建自签名或CA签发的TLS证书
• 配置Let’s Encrypt生产/测试环境签发器
• 监控证书请求状态与事件日志
• 通过Ingress注解实现证书自动申请
• 诊断证书未就绪、签发器异常等常见问题

使用说明

前置检查

certmanager_detect_tool()

安装cert-manager（若缺失）

kubectl apply -f https://github.com/cert-manager/cert-manager/releases/download/v1.13.0/cert-manager.yaml

基础操作流程

1. 创建ClusterIssuer（以Let’s Encrypt为例）：

   kubectl_apply(manifest="""
   apiVersion: cert-manager.io/v1
   kind: ClusterIssuer
   metadata:
     name: letsencrypt-prod
   spec:
     acme:
       server: https://acme-v02.api.letsencrypt.org/directory
       email: admin@example.com
       privateKeySecretRef:
         name: letsencrypt-prod-key
       solvers:
       - http01:
           ingress:
             class: nginx
   """)

2. 申请证书：

   kubectl_apply(manifest="""
   apiVersion: cert-manager.io/v1
   kind: Certificate
   metadata:
     name: my-tls
     namespace: default
   spec:
     secretName: my-tls-secret
     issuerRef:
       name: letsencrypt-prod
       kind: ClusterIssuer
     dnsNames:
     - app.example.com
   """)

3. 验证状态：

   certmanager_certificate_get_tool(name="my-tls", namespace="default")

输入与输出

见下方输入与输出表格。

风险提示

• Let’s Encrypt有速率限制，测试请先用staging环境
• 证书过期前30天自动续期，需确保证书资源未被误删
• 私钥Secret需配合RBAC限制访问权限
• HTTP-01挑战要求域名解析可达，内网环境需改用DNS-01

来源信息

原始链接：https://github.com/openclaw/skills/tree/main/skills/rohitg00/k8s-certs/SKILL.md
来源类型：GitHub仓库