2.3 KiB
title, updated
| title | updated |
|---|---|
| cert-manager SSL 인증서 관리 | 2026-03-26 |
인증
Bearer token is from vault secret/infra/cert-manager's api_token
배포 엔드포인트
POST http://100.84.111.28:8000/certificates/deploy
도메인-인스턴스 매핑
cert-manager 도메인-인스턴스 매핑: config.json의 domain_instance_map으로 설정
보안/신뢰성
cert-manager 보안/신뢰성: Bearer 토큰 인증 (/health 제외), 도메인 입력 검증 (path traversal 차단), tenacity 재시도 (apisix, Google EAB), Discord DM 알림 (실패 시 봇 DarkRouter가 DM), vault 토큰 만료 대응 (auto_renew 전 config 리로드 + 403 감지). 매일 03:00 UTC 자동 갱신 (만료 30일 이내)
Gitea 레포
gitea repository is https://gitea.inouter.com/kaffa/cert-manager (private)
DNS
DNS 전용 API Token 사용, propagation 60초 필요
관리 대상 도메인
관리 대상 도메인: actions.it.com, inouter.com, inouter.com, ironclad.it.com, keepanker.cv, servidor.it.com
it.com 참고
it.com은 TLD(도메인 레지스트리)이며 kaffa가 소유한 zone이 아님
kr 도메인
*.kr.inouter.com → kr1만
K3s cert-manager (Google Trust Services)
ClusterIssuer: google-trust-prod, DNS-01 챌린지 (Cloudflare API).
Secret: cloudflare-api-token (cert-manager 네임스페이스).
reflector로 전체 네임스페이스에 TLS 시크릿 자동 복제.
와일드카드 인증서 목록
| Certificate | Secret | 도메인 |
|---|---|---|
| wildcard-inouter | wildcard-inouter-tls | *.inouter.com |
| wildcard-anvil-it-com | wildcard-anvil-it-com-tls | *.inouter.com |
| wildcard-actions-it-com | wildcard-actions-it-com-tls | *.actions.it.com |
| wildcard-ironclad-it-com | wildcard-ironclad-it-com-tls | *.ironclad.it.com |
| wildcard-keepanker-cv | wildcard-keepanker-cv-tls | *.keepanker.cv |
| wildcard-servidor-it-com | wildcard-servidor-it-com-tls | *.servidor.it.com |
| wildcard-api-inouter | wildcard-api-inouter-tls | *.api.inouter.com |
| wildcard-mcp-inouter | wildcard-mcp-inouter-tls | *.mcp.inouter.com |
Traefik Gateway 등록 인증서
websecure 리스너에 등록: wildcard-inouter-tls, wildcard-anvil-it-com-tls, wildcard-actions-it-com-tls, wildcard-api-inouter-tls, wildcard-mcp-inouter-tls