cert-manager.io

一句话介绍

cert-manager.io 是一个开源、免费的云原生证书管理工具，由 Jetstack（现已被 Red Hat 收购）主导开发，专为 Kubernetes 集群设计。它能够自动签发、续期和管理 TLS/SSL 证书，让用户在 K8s 环境中无需手动处理证书过期难题。之所以被广泛选用，是因为它原生集成 Let's Encrypt、ACME 协议和多种 CA 后端，极大简化了证书生命周期管理，是 K8s 安全运维的“标配”之一。

业务详解

cert-manager 提供的主要服务是自动化 Kubernetes 集群内的证书管理。它通过自定义资源定义（CRD）让用户以声明式 YAML 配置的方式申请和更新证书，支持 ACME（Let's Encrypt、ZeroSSL 等）、Venafi、Hashicorp Vault 以及自签名 CA 等多种签发源。项目起源于 Jetstack 团队在 2017 年左右的开源探索，后于 2020 年成为 CNCF 孵化项目，2022 年升级为毕业项目，目前由社区和 Red Hat 共同维护。在行业地位上，它是 K8s 生态中证书管理领域的绝对领导者，被大量生产级集群采用，客户类型覆盖从个人开发者、中小型科技公司到大型金融机构和云服务商。其核心价值在于将证书管理从手动、易错的操作转变为 GitOps 友好的自动化流程。

适合谁用

cert-manager 最适合 K8s 集群运维人员、DevOps 工程师和安全团队使用。具体场景包括：个人开发者在测试环境快速配置 Let's Encrypt 证书，小团队在内部 K8s 集群中为微服务自动签发 TLS 证书，以及企业级生产环境中结合 Vault 或 Venafi 实现合规的证书生命周期管理。对于已经使用 K8s 且需要频繁处理 ingress 或 service mesh 证书的用户，它是无可替代的选择。但如果你不熟悉 K8s 或只需要管理单台服务器的证书，则可能过于复杂，更适合用 acme.sh 或 caddy 等轻量工具。

关键功能与亮点

• 自动签发与续期：基于 CRD 定义，自动向 CA 申请证书并在到期前自动续期，无需人工干预。
• 多 CA 后端支持：原生集成 Let's Encrypt（ACME）、Venafi、Hashicorp Vault、AWS PCA、Azure Key Vault 和自签名 CA，灵活适配不同安全策略。
• K8s 原生集成：通过 CRD（Certificate、Issuer、ClusterIssuer 等）与 K8s 资源无缝对接，支持 ingress shim 自动为 ingress 配置证书。
• 开源免费，社区活跃：项目完全开源，无商业版限制，GitHub 上拥有 12k+ star，文档完善，社区支持强大。
• 安全合规：支持证书密钥存储为 Kubernetes Secret，并可与 cert-manager-approver-policy 等扩展实现策略驱动的证书审批流程。
• 多云兼容：作为 CNCF 毕业项目，可在任何 K8s 发行版（如 EKS、AKS、GKE、自建集群）上运行。

价格分析

cert-manager 本身完全开源免费，无任何隐藏费用。用户只需承担运行它所需的 K8s 集群资源开销（通常极低，一个小的 controller 和 webhook pod 即可）。但需要注意：如果你使用 Let's Encrypt 作为 CA，其证书签发是免费的；如果使用 Venafi 或商业 CA，则需支付对应 CA 的许可证费用。总体而言，cert-manager 在价格上属于“免费+零门槛”档位，性价比极高，尤其适合预算有限的团队。

中国用户怎么用

网络通畅性：cert-manager 的安装镜像托管在 Docker Hub 和 GitHub Container Registry（ghcr.io），国内直连可能存在拉取缓慢或失败的问题。建议使用国内镜像源（如阿里云 ACR、中科大镜像站）或配置代理加速。文档和官网可直连访问，但部分英文资源可能加载稍慢。

支付方式：由于软件本身免费，无需支付。若使用商业 CA 后端，支付方式取决于 CA 提供商，与 cert-manager 无关。

是否需要科学上网：安装过程可能需要镜像加速，但正常使用不依赖。Let's Encrypt 在中国部分地区被墙或限速，建议使用国内 CA（如 TrustAsia、DigiCert 国内节点）或自签名 CA 替代。

国内同类替代品：目前国内暂无完全对等的开源替代品。部分云厂商（如阿里云 ACK、腾讯云 TKE）提供内置证书管理功能，但绑定特定平台。对于自建集群，cert-manager 仍是首选。

优缺点对比

优点：

• ✅ 完全开源免费，无商业限制
• ✅ 与 K8s 深度集成，声明式配置，运维极简
• ✅ 支持多种 CA 后端，灵活性强
• ✅ 社区活跃，文档详尽，问题响应快
• ✅ CNCF 毕业项目，生产级稳定性

缺点：

• ❌ 学习曲线较陡，需熟悉 K8s CRD 和 YAML 语法
• ❌ 镜像拉取在国内需额外配置加速
• ❌ 对非 K8s 场景无用，不能管理裸机或 VPS 证书
• ❌ 部分高级功能（如策略审批）需额外组件，配置复杂
• ❌ 无图形化界面，全部依赖命令行和配置文件

同类产品对比

• acme.sh：轻量级 ACME 客户端，支持 shell 脚本和多种 DNS 服务商，适合单机或非 K8s 环境。相比 cert-manager，它更简单但缺乏 K8s 原生集成和自动化续期能力。
• Let's Encrypt 官方客户端（Certbot）：功能全面但面向传统服务器，需手动配置 cron 任务续期，在 K8s 中需额外封装，不如 cert-manager 自然。
• K8s 内置 Secret 管理 + 手动证书：无自动化工具，完全依赖人工操作，易出错且效率低，仅适合极小规模测试环境。

总结建议

cert-manager 适合所有使用 K8s 且需要自动化证书管理的场景，尤其是生产环境、微服务架构和 GitOps 工作流。它免费、稳定、社区强大，是云原生证书管理的标杆。不适合非 K8s 用户、对 YAML 配置不熟悉的初学者，以及需要图形界面管理的团队。建议直接使用开源版本，无需付费；对于国内用户，提前配置好镜像加速和国内 CA 后端，即可稳定运行。如果在 K8s 上运行服务，它几乎是一个“必选”工具。