ref: https://medium.com/flant-com/cert-manager-lets-encrypt-ssl-certs-for-kubernetes-7642e463bbce

這篇文章是個分享文，作者分享如何使用 cert-manager 這個工具透過 lets-encrypts 來獲得一個被認證的 SSL 憑證供 kubernetes 內部應用使用。

根據 CNCF Technology Radar(https://radar.cncf.io/2021-02-secrets-management) 的介紹，目前 Cert-Manager 幾乎是 k8s 內管理憑證最為知名的專案。
本篇文章針對幾個四種不同的使用情境來介紹如何使用 cert-manager，以下針對每個用法給一些摘要。

前期提要：
Kubernetes 會使用 SSL 憑證的大部分情況都是透過 Ingress 這個物件去描述需要使用 Certificate，所以文章的範例都會是基於 Ingress 的使用下手。
譬如說 Ingress 想要使用開啟 TLS 的功能，需要使用一個 secret，而 Cert-Manager 則會基於其設定最後產生出一個符合 Certificate 用法的 Secert 物件給 Ingress 使用。

Self-signed certificate
第一種是最簡單也是最直接的用法，透過 cert-manager 來產生一組自行簽署的簽證
正常情況下產生後的自簽憑證預設是不被信任的，畢竟預設情況下並沒有加入一個 CA，因此簽出來的憑證用瀏覽器打開還是會呈現不可信任
如果環境有事先準備好 CA 的話，是可以將該 CA 加入到 cert-manager 的設定中，這樣就可以簽出一個被信任的憑證了。

Let’s Encrypt certificate with the HTTP/DNS validation
第二個則是最普遍的用法，就是透過 Let's Encrypt 的服務來獲得一個可以被信任的憑證，而 Cert-Manager 目前支持兩種 ACME 的認證方式，分別是 HTTP 以及 DNS，這兩個方式最主要的目的都是要確認
申請者是該申請 domain 的擁有者，所以可以透過不同的方式來驗證。

如果想要使用 DNS 來進行驗證的則必須要確認該域名管理的服務商是否有提供相關的 API 同時該 API 是否 cert-manager 有支援，文章中作者使用 CloudFlare 來當範例展示一下如何使用 DNS 挑戰來驗證相關的 TXT Record.
由於 DNS Record 本身會有 Propagation 延遲傳遞的問題，因此驗證上通常會比使用 HTTP 的方式還來得慢一點。
Cert-Manager 本身也支援兩種方式同時使用。

另外使用 Let's Encrypt 時要特別注意，非常推薦一開始使用 Let's Encrypt Staging 的服務來進行測試，不要一開始就直接使用 Production 的 API，因為 Production 會將短時間內發送大量請求的網域給停權一陣子，要等待一段時間後才可以再次發送。
因此開發測試過程請先使用 Staging 的 API，待一切沒問題後才轉向 Production API。

Using special Ingress annotations
這種方法其實是簡化維運者的工作，Cert-Manager 會有一個額外的 Controller 去監聽所有的 Ingress 物件，如果該 Ingress 物件的 Annotation 有描述跟憑證相關的資訊，該 Controller
就會自動創造 cert-manager 相關的資源，讓管理者減少需要自己部署的物件數量，反而將部分操作轉交給 Controller 去處理。

本篇是一個 Kubernetes 的入門介紹文，探討 Kubernetes 內要如何透過 SSL/TLS 憑證來加強應用程式之間的連線。

本篇文章不使用任何第三方套件，反而是從 Kubernetes 內建的資源功能出發去探討，理解 Kubernetes 的能力與極限其實長久下來對於評估各種專案都滿有幫助的。

Kubernetes 的 Secret 除了使用 base64 作為編碼技術外，其實本身也提供不少類型方便管理人員使用，譬如本文提到的 tls 類型， container registry credential 以及最廣泛使用的 generic 等。

Secret(tls類型)本身創建時會吃兩個參數，分別是 tls.crt 與 tls.key，接者這類型的 secret 可以與 ingress 進行整合，將 TLS 給掛載到 Ingress 物件中並且同時執行 TLS Termination，讓 Ingres 與外部連線使用 HTTPS 而內部服務則使用 HTTP 來溝通。

文章中提到如何透過 openssl 創建一個 self-signed 的憑證，並且針對 self-signed 的特性進行討論，其列出了四個 self-signed 的缺點

1. 瀏覽器連接到這些 self-signed 憑證的網站時都會露出警告告知使用者，因此這類型的憑證不適合任何正式生產環境使用
2. 因為 self-signed 就是開發者自行創造，缺少第三方可信任機關的認證，因此惡意攻擊者可以輕鬆換掉服務上的簽證，畢竟瀏覽器本來就覺得簽證有問題，無法分辨到底是先前的自簽憑證還是被替換的憑證。
3. 第三方CA都會針對發行的憑證給予一些保固與服務，這部分是自簽沒有辦法擁有的
4. 愈來愈多的使用者會不太願意瀏覽與使用沒有合法且信任憑證的網站

作者提到 Kubernetes 內部雖然有一個 CA，但是不推薦把任何服務相關的憑證都跟其扯上關係，
因為該 CA 是給 Kubernetes 內部控制平面使用的，譬如 kubelet, API Server, Controller, Scheduler 等元件彼此溝通中間使用的。

文章最後作者示範透過 cfssl 的該指令幫一個內部服務創建一個憑證，由於內部服務會透過 Kubernetes Service 提供的 DNS 來存取，因此創建憑證時會於 CN 欄位補上 alternative 的名稱，把 service.svc.... 之類的全部都補上。

https://medium.com/avmconsulting-blog/how-to-secure-applications-on-kubernetes-ssl-tls-certificates-8f7f5751d788

【康友-KY投資人針對勤業眾信賴總裁接受專訪之回應二】

「拜請媽祖娘娘託夢台積電吧」

就110年4月14日【康友-KY投資人針對勤業眾信賴總裁接受專訪之回應一】一文https://www.yuanxilaw.com.tw/news_detail/132
勤業眾信仍一本往常以：「本案已進入司法程序，依法交由主管機關及檢調機關偵辦中」敷衍回應，一點都不令人意外。

本文分為二大段，前段談道德，談事理，後段談點專業的。

----屬於道德美善的分隔線---

我們想問：康友案事發至今，已經快要1年了，這1年來勤業眾信至少發過5次公開聲明，次次都很強勢：「社會大眾誤解」（2020年8月19日）、「妄加揣測，以訛傳訛」（2020年8月26日）、「有心人士卻一再轉移焦點，且不斷混淆視聽」（2020年10月5日），「已進入司法程序，依法交由主管機關及檢調機關偵辦中」，其中部分聲明搭配著勤業眾信的口號：「誠正篤實」2次、「勤於專業、公眾信任」1次。

大家猜猜，對於康友投資人的慰問、歉意，或只是一聲問好，出現過幾次？

零次， 一次都沒有。

有趣的是，施景彬會計師的別墅紅酒富貴人生的臉書，倒是躲在公關與律師強勢的發文下，悄悄的設定不公開了。

所以，可不可以不要再說什麼誠正篤實、勤於專業？請問，台灣人的善良、淳樸到哪裏去了？對於信賴勤業眾信財報而退休金、養老金血本無歸的小老百姓，說一聲對不起很難嗎？勤業眾信全所上上下下一百多個合夥會計師、數百個會計師，一個人出來說一聲對不起，我們沒有做好，讓大家受害了，很難嗎？這些小老百姓，他們喝不起施會計師們習慣的紅酒，住不起施會計師高大上的別墅，一次生日無法切6個蛋糕，但是他們相信勤業眾信過去的信譽購買康友有的是為了人生第一棟房子頭期款，有的是為了退休金。即便他們一輩子賺的錢也沒有施會計師一年多，但他們原本也可以有安身立命的小窩，寧靜平安的晚年，如果他們沒有錯信勤業眾信的話。

現在對這些人，輕輕地說一聲對不起，很難嗎？對這樣的投資人，勤業眾信說他們「妄加揣測，以訛傳訛」、「有心人士、混淆視聽」，我則想問：台灣人的良心去哪裏了？

勤業眾信為國際會計師事務所品牌，俗稱四大之一，怎麼可以跟著公司前高層，喝酒吃肉，還為其擦脂抹粉、虛與委蛇，踐踏審計專業？台灣目前有12檔在美國發行的存託憑證（ADR），包含我國的護國神山台積電、日月光、中華電信都名列其中，但是他們都是由勤業眾信會計師簽證。在此，我相信所有康友-KY投資人心裏都有一個問號，美國證券主管機關對於這種連續出包、管理明顯有疑的會計師事務所出具的簽證報告，在美國也行得通嗎？美國的證交所也能像台灣證交所一樣買單？美國股民是否也會像康友-KY投資人一樣笨笨的信任？美國證監單位會像台灣金管會、證交所一樣疏於監理、查核嗎？康友-KY投資人的殷鑑不遠，數百億台幣的損失莫非不足以提醒美國證監主管機關要求撤換會計師？一旦等到股價下跌，被美國股民用股價逼著換台積電的簽證會計師時，那恐怕就是動搖國本的事了。

拜請媽祖娘娘託夢給台積電，中華電信，日月光，快點換簽證會計師吧。

天祐台灣。

---我是專業的分隔線---

(文長慎入)

-
-
-
(你真的要看嗎? 好，困難的開始囉)

茲再就會計師之查核、簽證諸多缺失，繼110年4月14日【康友-KY投資人針對勤業眾信賴總裁接受專訪之回應一】後，續行就教勤業眾信，投資人卑微地懇求勤業眾信能明確公開說明，以釋康友-KY受害投資人之疑慮：

一、何以康友公司帳上現金高達50、60億元，卻仍有數10億元之借款？甚至是質押子公司全部股票借款？

107至108年間，康友公司之帳上現金及定期存款即高達新台幣50、60億餘元。請問，如果上開現金、定存屬實，為何還有高達10億餘元之銀行借款？帳上擁有高額現金，卻同時有高額借款之情形，是否已不尋常，更何況康友公司之後質押其對印尼子公司帝斯公司之全部股票向安泰銀行借款，是否亦不尋常？身為專業之會計師，對於上開異常竟毫無敏感度？會計師果真不用回過頭確認現金、定存的真實性嗎？

二、康友的毛利率早有異常，背離同業，何以勤業眾信未作毛利率比較分析？

依康友107、108年財報，康友營業毛利率均高達41%，109年第1季則高達39%，一路上維持穩定。但與康友公司同業之中國廠商相較，包含辰欣製藥、科倫製藥、華潤雙鶴與石四藥集團，因景氣與需求關係，自105年起毛利率持續上升，並至108年持穩，反觀康友則是一路維持在40%的毛利率上下（並不容易，恐係全套假帳之毛利率），一路走來始終如一，其成長趨勢完全與同地區、同業背離。針對上開現象，勤業眾信本應進行同業毛利率分析，並同步驗證康友公司是否如其所宣稱為中國「六大」輸液公司，了解毛利率背離之情形，詎勤業眾信竟未作比對，即逕行出具無保留意見。更遑論康友公司並非中國「六大」輸液公司，勤業眾信簽證長期10年，竟然完全不疑有他，全然不知？

三、新加坡子公司方柏、方泰公司將持有印尼帝斯公司之「全部」股份質押借款，事關子公司「全部」資產之重大處分，會計師竟未要求揭露而故予隱匿？

依康友公司108年財報，子公司方柏公司與方泰公司於該年度6月與安泰銀行簽訂美元8602仟元之擔保借款合約，且由康友董事長黃文烈擔任連帶保證人，並以其所屬之轉投資公司持有康友之股票1532張設質為副擔保品，此為財報上所揭露事項，固無疑義。惟康友公司108年下半年間，就上開向安泰銀行所為之借款，其後另以方柏公司與方泰公司持有之子公司帝斯公司「全數」股份設質擔保，此為關於告訴人公司重大資產處分事項，代表公司營運已有嚴重問題，然勤業眾信明知上開事項，建業法律事務所顧問律師亦明知，甚至出具法律意見書認為合規，詎會計師108年財報卻故未予揭露（係遲至109年第1季始予揭露），且未對該重大事項予以敘明，反而出具無保留意見，顯已違反審計要求，使無辜市場投資人未能及時判斷公司營運狀況，陷於錯誤，受有損害。

四、六安華源公司之工廠於109年2月底業已停工，勤業眾信對此重大期後事項，仍做出無保留意見之108年報，誠不可思議：

依大陸公示系統所示，107年康友子公司六安華源公司員工仍有1233人，108年卻僅剩307人；然康友公司財報卻說108年仍有1296人，差了４倍，會計師竟然不知？又即使未能及時查詢，然員工大量解僱，勢必連帶使薪資費用減生巨額變動、退休金項目亦有變動，何以勤業眾信查核時沒有發現？甚至可能係明知而故未予揭露坦護黃文烈等人？

以上四問，康友投資人從去年問到今天，勤業眾信一字不敢答，不能答，寧可花大錢聘請公關公司、律師，為其發表各種業配文，洗白文。如此行止，還能奢言「誠正篤實」？