update

helm/certificates/ops/docs/README.md

@@ -30,23 +30,46 @@ Ce chart gère les certificats TLS générés par cert-manager dans le cluster O
 
 Ajoutez un fichier dans le dossier de l'application (ex: `templates/homarr/`) :
 
+#### Pour un site public (`.fr`) - Let's Encrypt
+
 ```yaml
 apiVersion: cert-manager.io/v1
 kind: Certificate
 metadata:
   name: <app>-<env>-tls
-  namespace: <app>-<env>  # Le namespace où sera utilisé le secret TLS
+  namespace: certificates-ops
 spec:
   secretName: <app>-<env>-tls
   issuerRef:
-    name: letsencrypt-prod  # Pour sites publics (.fr)
-    # OU
-    # name: ca-issuer  # Pour sites internes (.local)
+    name: letsencrypt-prod
     kind: ClusterIssuer
   dnsNames:
-    - <domain>
+    - <domain>.fr
 ```
 
+#### Pour un site interne (`.local`) - PKI Interne
+
+```yaml
+apiVersion: cert-manager.io/v1
+kind: Certificate
+metadata:
+  name: <app>-<env>-tls
+  namespace: certificates-ops
+  annotations:
+    # IMPORTANT: Les certificats utilisant ca-issuer doivent être créés
+    # après que la PKI soit initialisée (sync-wave "2")
+    argocd.argoproj.io/sync-wave: "2"
+spec:
+  secretName: <app>-<env>-tls
+  issuerRef:
+    name: ca-issuer  # PKI interne pour domaines .local
+    kind: ClusterIssuer
+  dnsNames:
+    - <domain>.local
+```
+
+**⚠️ Important pour les certificats internes** : Ajoutez toujours l'annotation `argocd.argoproj.io/sync-wave: "2"` pour garantir que la PKI est initialisée avant la création du certificat.
+
 ### Pour une nouvelle application
 
 1. Créez un nouveau dossier dans `templates/` : `templates/<app>/`