_CORE
Služby
AI & agentní systémy Podnikové informační systémy Cloud & Platform Engineering Datová platforma & integrace Bezpečnost & compliance QA, testování & observabilita IoT, automatizace & robotika Mobilní & digitální produkty
Odvětví
Bankovnictví & finance Pojišťovnictví Veřejná správa Obrana & bezpečnost Zdravotnictví Energetika & utility Telco & média Průmysl & výroba Logistika & e-commerce Retail & věrnostní programy
Reference Technologie
Lab
Blog Know-how Nástroje
O nás Spolupráce Kariéra
CS EN DE
Pojďme to probrat

Certificate Management — správa certifikátů

11. 02. 2025 Aktualizováno: 27. 03. 2026 1 min čtení intermediate

Expirovaný certifikát znamená výpadek. Špatně spravované certifikáty jsou časovaná bomba — většina organizací má certifikáty roztroušené na desítkách serverů bez centrální evidence. Když vyprší certifikát na produkčním load balanceru v pátek večer, je pozdě na ruční obnovu. Automatizace lifecycle certifikátů je investice, která se vrátí při prvním zabraňeném výpadku.

cert-manager v Kubernetes

# Instalace
helm install cert-manager jetstack/cert-manager --set installCRDs=true

# Let's Encrypt issuer
apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: letsencrypt
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    email: [email protected]
    privateKeySecretRef:
      name: letsencrypt-key
    solvers:
    - http01:
        ingress:
          class: nginx

cert-manager automatizuje celý lifecycle — vyžádání, validaci, uložení do Kubernetes Secret a automatickou obnovu před expirací. Podporuje Let’s Encrypt, Vault, Venafi a další certificate authority. Po konfiguraci ClusterIssueru stačí v Ingress anotaci přidat cert-manager.io/cluster-issuer: letsencrypt a certifikát se vytvoří automaticky.

Monitoring

# Prometheus alert
- alert: CertificateExpiringSoon
  expr: certmanager_certificate_expiration_timestamp_seconds - time() < 7 * 24 * 3600
  labels:
    severity: warning
  annotations:
    summary: "Certificate {{ $labels.name }} expires in less than 7 days"

Monitoring expirace je druhá kritická vrstva. Prometheus metriky z cert-manageru umožňují nastavit alerting s dostatečným předstihem. Pro certifikáty mimo Kubernetes použijte nástroje jako ssl-cert-check nebo blackbox exporter, který testuje TLS handshake na endpointech.

Mimo Kubernetes

Pro servery bez cert-manageru automatizujte obnovu přes certbot s cron jobem. Pro interní PKI zvažte HashiCorp Vault jako certificate authority — Vault vydává krátkodobé certifikáty (hodiny místo měsíců), čímž minimalizuje dopad kompromitace.

Klíčový takeaway

cert-manager pro Kubernetes, certbot pro standalone servery, Prometheus pro monitoring expirace. Automatizujte obnovu a monitorujte expiraci — ruční správa certifikátů nefunguje při škálování.

securitycertificatestlscert-manager
Sdílet:

CORE SYSTEMS tým

Stavíme core systémy a AI agenty, které drží provoz. 15 let zkušeností s enterprise IT.

Všechny články

Další know-how

Confidential Computing — důvěrné výpočty v cloudu

Confidential Computing v roce 2026: TEE enklávy, šifrovaná paměť, multi-party computation a praktické nasazení v...

Jailbreak prevence

Jailbreak prevence u LLM a AI agentů - bezpečnostní opatření proti zneužití, detekce škodlivých promptů a ochrana...

Prompt Injection — ochrana LLM

Prompt Injection je závažná bezpečnostní hrozba pro LLM modely. Naučte se jak funguje útok, jaké má důsledky a jak...

Docker security checklist

Docker security checklist — image scanning, non-root, read-only filesystem.