Prendre rendez-vous
  1. Accueil
  2. /
  3. Blog
  4. /

  5. Automatiser la gestion des certificats TLS dans Kubernetes avec cert-manager

Kubernetes
Sécurité

Automatiser la gestion des certificats TLS dans Kubernetes avec cert-manager

19 juillet 2025

3 min de lecture

Sommaire
Prérequis
Installation de cert-manager
Création d'un ClusterIssuer Let's Encrypt
Émission automatique d'un certificat
Intégration avec Ingress
Supervision et alerting
Intégration avec l'Ingress
Alternatives
Bonnes pratiques
Conclusion

Introduction

Gérer les certificats TLS dans un cluster Kubernetes peut devenir rapidement complexe. cert‑manager est un opérateur Kubernetes open‑source qui automatise l'émission, le renouvellement et la rotation des certificats TLS en intégrant des sources comme Let's Encrypt, HashiCorp Vault, ou des autorités internes.

Si vous êtes nouveau sur Kubernetes, consultez d'abord notre guide d'introduction aux concepts fondamentaux de Kubernetes.

Prérequis

  • Un cluster Kubernetes (>=1.21)
  • kubectl configuré
  • Helm 3 (optionnel)
  • Un Issuer ou ClusterIssuer disponible (Let's Encrypt, Vault, CA interne)

Installation de cert-manager

1. Ajouter le repository Helm
helm repo add jetstack https://charts.jetstack.io
helm repo update
2. Installer cert-manager
kubectl create namespace cert-manager
helm install cert-manager jetstack/cert-manager   --namespace cert-manager   --version v1.15.0   --set installCRDs=true

Création d'un ClusterIssuer Let's Encrypt

apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: letsencrypt-prod
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    email: admin@example.com
    privateKeySecretRef:
      name: letsencrypt-prod
    solvers:
      - http01:
          ingress:
            class: nginx

Appliquez-le :

kubectl apply -f clusterissuer.yaml

Émission automatique d'un certificat

Définir une ressource Certificate
apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: tls-example-com
  namespace: production
spec:
  secretName: tls-example-com
  dnsNames:
    - example.com
    - www.example.com
  issuerRef:
    name: letsencrypt-prod
    kind: ClusterIssuer

kubectl apply -f certificate.yaml

Le secret tls-example-com contient le certificat et la clé privée.

Intégration avec Ingress

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: example-web
  namespace: production
  annotations:
    cert-manager.io/cluster-issuer: letsencrypt-prod
spec:
  tls:
    - hosts:
        - example.com
      secretName: tls-example-com
  rules:
    - host: example.com
      http:
        paths:
          - path: /
            pathType: Prefix
            backend:
              service:
                name: example-svc
                port:
                  number: 80

Supervision et alerting

  • Metrics : activez --metrics sur le controller
  • Scraping : collectez certmanager_certificate_expiration_timestamp_seconds avec Prometheus
  • Alertes : prévoyez une alerte si expiration < 7 jours

Intégration avec l'Ingress

Pour une gestion complète du routage avec TLS, découvrez comment configurer Traefik v2 pour le routage HTTP/HTTPS.

Alternatives

Si vous préférez une approche sans Kubernetes, vous pouvez explorer la gestion manuelle des certificats avec Certbot et cron sur des serveurs Linux standards.

Bonnes pratiques

  1. Isoler cert‑manager dans son namespace
  2. Sécuriser l'accès aux secrets (RBAC)
  3. Tester la création et le renouvellement en staging
  4. Documenter la récupération manuelle
  5. Mettre à jour régulièrement CRDs et chart Helm

Conclusion

cert‑manager simplifie la gestion des certificats TLS dans Kubernetes et réduit les risques liés aux expirations. En automatisant le cycle de vie des certificats, vous garantissez la sécurité et la disponibilité de vos services exposés.

Besoin d'aide sur ce sujet ?

Notre équipe d'experts est là pour vous accompagner dans vos projets d'infrastructure et d'infogérance.

Contactez-nous

Articles similaires

Surveiller et sécuriser le réseau Kubernetes avec Cilium et eBPF
Kubernetes
Réseau
Sécurité

Surveiller et sécuriser le réseau Kubernetes avec Cilium et eBPF

Découvrez comment installer Cilium pour exploiter eBPF et renforcer la sécurité réseau, la visibilité et la gestion des politiques dans vos clusters Kubernetes.

25 juil. 2025

Lire plus

Automatiser la gestion des secrets dans Kubernetes avec External Secrets Operator
Kubernetes
Sécurité

Automatiser la gestion des secrets dans Kubernetes avec External Secrets Operator

Découvrez comment installer et configurer External Secrets Operator pour synchroniser automatiquement vos secrets depuis Vault, AWS Secrets Manager ou d'autres stores dans vos clusters Kubernetes.

23 juil. 2025

Lire plus

Renforcer la sécurité de votre cluster Kubernetes avec OPA Gatekeeper
Kubernetes
Sécurité

Renforcer la sécurité de votre cluster Kubernetes avec OPA Gatekeeper

Découvrez comment installer et configurer OPA Gatekeeper pour appliquer des politiques de sécurité déclaratives et garantir la conformité de vos clusters Kubernetes.

19 juil. 2025

Lire plus

SHPV, votre partenaire de confiance en infrastructure et infogérance informatique en France.

SHPV
Prendre rendez-vousNous contacter
Expertise
InfrastructureDatacenterInfogéranceCloudHébergementTransit IP
Légales
Conditions Générales de VenteCPS - Contrat de ServicesCPS - Hébergement CloudCPS - Microsoft 365Accord sous-traitance RGPDTarifs interventions

SHPV © 2026 - Tous droits réservés

Mentions légalesPolitiques de confidentialité
SHPV FRANCE - SAS au capital de 16 000 € - 52 Rue Romain Rolland, 71230 Saint-Vallier - SIRET n°80886287400035 - R.C.S. Chalon-sur-Saône. Par téléphone 09 72 310 818 - Email: support@shpv.fr