Kubernetes Ingress/Gateway TLS证书自动续期与信任链治理

Kubernetes Ingress/Gateway TLS证书自动续期与信任链治理概览cert-manager 集成 ACME/自签 CA；自动签发与续期证书；在 Ingress/Gateway 层绑定 Secret 使用。规范信任链与 SNI、主机名；避免兼容性问题。技术参数（已验证）Issuer/ClusterIssuer：支持 ACME HTTP-01/DNS-01；配置邮箱与域名挑战。Secret：`type: kubernetes.io/tls`；`tls.crt/tls.key`；绑定 Ingress `tls.hosts/secretName` 或 Gateway `tls.certificateRefs`。续期：在到期前自动续期；记录事件与失败告警；避免服务中断。信任链：完整链与中间证书；SNI 与主机匹配；老客户端兼容策略。观测：记录签发/续期/失败事件；在看板展示证书健康。实战清单为所有入口启用自动签发与续期；在高价值域名配置备用证书。管理 DNS 与挑战权限；确保 ACME 挑战可靠。建立回滚与手动签发流程；在异常时快速恢复。