update pki

2026-01-21 22:16:55 +01:00
parent 744da48281
commit 3af0d0b170
4 changed files with 194 additions and 0 deletions
--- a/helm/certificates/ops/templates/certificate-ca-root.yaml
+++ b/helm/certificates/ops/templates/certificate-ca-root.yaml
@@ -3,6 +3,10 @@ kind: Certificate
 metadata:
  name: ca-root-certificate
  namespace: certificates-ops
+  annotations:
+    # Ce certificat doit être créé en premier pour générer le secret ca-root-secret
+    # utilisé par le ClusterIssuer ca-issuer
+    argocd.argoproj.io/sync-wave: "0"
 spec:
  # Ce certificat génère la CA root de votre PKI interne
  secretName: ca-root-secret
--- a/helm/certificates/ops/templates/cluster-issuer-ca-root.yaml
+++ b/helm/certificates/ops/templates/cluster-issuer-ca-root.yaml
@@ -2,6 +2,9 @@ apiVersion: cert-manager.io/v1
 kind: ClusterIssuer
 metadata:
  name: ca-root-issuer
+  annotations:
+    # Ce ClusterIssuer doit être créé en premier (avant le Certificate ca-root-certificate)
+    argocd.argoproj.io/sync-wave: "-1"
 spec:
  selfSigned: {}

--- a/helm/certificates/ops/templates/cluster-issuer-ca.yaml
+++ b/helm/certificates/ops/templates/cluster-issuer-ca.yaml
@@ -2,9 +2,14 @@ apiVersion: cert-manager.io/v1
 kind: ClusterIssuer
 metadata:
  name: ca-issuer
+  annotations:
+    # Ce ClusterIssuer dépend du secret ca-root-secret généré par ca-root-certificate
+    # ArgoCD créera d'abord le Certificate, puis ce ClusterIssuer
+    argocd.argoproj.io/sync-wave: "1"
 spec:
  ca:
    secretName: ca-root-secret
    # Le secret ca-root-secret contient la clé privée et le certificat de la CA root
    # Il est généré par le Certificate ca-root-certificate ci-dessus
+    # IMPORTANT: Ce ClusterIssuer sera en erreur jusqu'à ce que le secret soit créé