Network & Security

cert-manager + step-ca คู่มือ Internal PKI สำหรับ SME ไทย 2026

เลิกต่ออายุ Certificate มือ! คู่มือสร้าง Internal PKI ด้วย step-ca + cert-manager บน Kubernetes ออกใบรับรอง TLS อัตโนมัติแบบ Let's Encrypt สำหรับ Microservices ภายในองค์กร

AF
ADS FIT Team
·8 นาที
Share:
🌐

# cert-manager + step-ca คู่มือ Internal PKI สำหรับ SME ไทย 2026

ทีม DevOps ของ SME ไทยมักเสียเวลาไปกับ Certificate Renewal ที่ต้องทำมือทุก 3-12 เดือน เกิดเหตุการณ์ Service Outage บ่อย เพราะ Cert หมดอายุไม่รู้ตัว ขณะเดียวกัน Microservices ภายในก็ใช้ HTTP plain หรือ Self-signed Certificate ที่ไม่หมุนเวียน ทำให้ Lateral Movement Risk เพิ่มขึ้นต่อเนื่อง

cert-manager + step-ca คือ Stack Open Source ที่นำ Workflow ของ Let's Encrypt ACME มาใช้ภายในองค์กร ทำให้ออกใบรับรอง TLS อัตโนมัติทั้ง External และ Internal ตั้งค่าเสร็จครั้งเดียว ทุกอย่างหมุนเวียนเองตลอด ลด Operational Burden ของทีม DevOps SME ลงอย่างมาก

บทความนี้จะอธิบาย cert-manager และ step-ca คืออะไร เหมาะกับใคร เปรียบเทียบกับทางเลือกอื่น Architecture ที่แนะนำ และขั้นตอน Implementation บน Kubernetes

cert-manager และ step-ca คืออะไร

cert-manager คือ Kubernetes-native Certificate Controller ที่เป็น CNCF Graduated Project ทำหน้าที่ขอ ออก ติดตั้ง และต่ออายุ TLS Certificate ให้กับ Workload บน Kubernetes โดยรองรับ Issuer หลากหลาย เช่น Let's Encrypt, HashiCorp Vault, AWS PCA และ ACME-compatible CA

step-ca คือ Open Source Internal Certificate Authority พัฒนาโดย Smallstep ที่รองรับ ACME Protocol เต็มรูปแบบ ทำให้ใช้เป็น Private CA ขององค์กรเพื่อออกใบรับรองให้ Internal Service ได้เหมือน Let's Encrypt ออกใบให้ Public Service

เมื่อจับคู่กัน ทีมจะได้ระบบ Internal PKI ที่ทันสมัย หมุนเวียนเองอัตโนมัติ ปลอดภัย และ Audit ได้ ตอบโจทย์ Zero Trust Architecture สำหรับ SME ไทยที่ต้องการรักษาความปลอดภัยระดับ Enterprise โดยไม่ต้องจ่ายค่า License ราคาแพง

ทำไม SME ไทยควรใช้ Stack นี้

SME ที่กำลังเปลี่ยนผ่านสู่ Microservices หรือ Kubernetes มักประสบปัญหา 4 รูปแบบ ได้แก่ Cert หมดอายุไม่รู้ตัว Self-signed cert ที่ทีม trust ไปทั่ว Mutual TLS ที่ทำไม่ได้เพราะ Process ออก Cert ไม่อัตโนมัติ และ Compliance Audit ที่ตอบไม่ได้

cert-manager + step-ca แก้ทั้ง 4 ปัญหาในครั้งเดียว Cert หมุนเวียนทุก 24 ชั่วโมงโดย default ทุก Service มี Cert ที่ Trust ผ่าน Internal Root CA เดียวกัน mTLS ทำได้ทันที และทุก Issuance ถูกบันทึกเป็น Audit Log แบบ JSON

ตัวเลขจาก Production Deployment พบว่า Time-to-Provision Cert ลดจาก 3-7 วันเหลือเพียง 30-60 วินาที และ Cert-related Incident ลดลงกว่า 95% หลัง Implement ครบ 3 เดือน

เปรียบเทียบกับทางเลือกอื่น

| ด้าน | step-ca + cert-manager | HashiCorp Vault PKI | Microsoft AD CS | Self-signed |

|---|---|---|---|---|

| License | Open Source ฟรี | Open Source / Enterprise | Windows License | ฟรี |

| ACME Support | Native | Plugin | ไม่รองรับ | ไม่รองรับ |

| Kubernetes-native | ใช่ | บางส่วน | ไม่ใช่ | ไม่ใช่ |

| Cert Lifetime | 24 ชม. | กำหนดเอง | 1-2 ปี | 1-10 ปี |

| ทีมที่ต้องการ | 1 DevOps | 2 Platform | 1-2 Sysadmin | 0 |

| Audit-ready | ใช่ | ใช่ | บางส่วน | ไม่ใช่ |

step-ca + cert-manager จึงเป็นจุดลงตัวสำหรับ SME ที่ใช้ Kubernetes และต้องการ Operational Cost ต่ำ พร้อมความสามารถระดับ Enterprise

Reference Architecture สำหรับ SME

สำหรับ SME ไทยแนะนำให้ใช้ Two-Tier PKI Hierarchy ตามนี้

ชั้นบนสุดคือ Offline Root CA อายุ 10 ปี เก็บไว้ใน HSM หรือ Air-gapped Machine เปิดใช้เฉพาะตอนต้องเซ็น Intermediate ปีละครั้ง

ชั้นกลางคือ Online Intermediate CA (step-ca) อายุ 5 ปี รัน 24/7 ทำหน้าที่ออกใบ Leaf Certificate ผ่าน ACME Endpoint โดยมี HA แบบ 2 instances + Load Balancer

ชั้นล่างสุดคือ Leaf Certificate ที่ cert-manager ขอจาก Intermediate ผ่าน ACME ทุก 24 ชั่วโมง ใช้ใน Pod, Ingress, Mesh Sidecar และ Internal Database

ฝั่ง Public-facing Service ยังคงใช้ Let's Encrypt ผ่าน cert-manager ได้ตามปกติ ทำให้ทีมมี Issuer Configuration เพียงไฟล์เดียวที่ครอบคลุมทั้ง Internal และ External

ขั้นตอน Implementation บน Kubernetes

แนวทาง Implement ที่ทดสอบกับ Cluster ขนาด 10-50 nodes แบ่งเป็น 6 ขั้นตอน

  • ขั้นที่ 1 สร้าง Root CA Offline ด้วย step certificate create บนเครื่อง Air-gapped
  • ขั้นที่ 2 Deploy step-ca เป็น Intermediate ผ่าน Helm Chart 2 Replicas
  • ขั้นที่ 3 เปิด ACME Provisioner บน step-ca กำหนด Lifetime 24h
  • ขั้นที่ 4 ติดตั้ง cert-manager และตั้ง ClusterIssuer 2 ตัวคือ internal-ca และ letsencrypt-prod
  • ขั้นที่ 5 Annotate Ingress และ Certificate Resource ให้ใช้ Issuer ที่ถูกต้อง
  • ขั้นที่ 6 Distribute Root CA ไปยัง Client ผ่าน ConfigMap, MDM และ Configuration Management

    • Best Practice ที่ทีม SME ต้องไม่พลาด

    หลังขึ้น Production แล้ว มี Best Practice 5 ข้อที่ช่วยให้ระบบยั่งยืน

    ทีมควรตั้ง Monitoring บน Cert Expiry ผ่าน Prometheus exporter ของ cert-manager และ alert เมื่อ Cert ใด ๆ จะหมดอายุภายใน 7 วัน ควร Backup step-ca State ทุกวัน รวม Database, CA Certificate และ Provisioner Configuration

    ควร Rotate Intermediate CA Certificate ทุก 2-3 ปี ทำในช่วง Maintenance Window ที่กำหนด ทีมต้อง Audit Log Pipeline โดย Stream Log ของ step-ca เข้า ELK, Loki หรือ Datadog ทุกวินาที สุดท้ายทดสอบ Disaster Recovery ปีละครั้ง

    สรุปและขั้นตอนต่อไป

    cert-manager + step-ca คือ Stack Internal PKI Open Source ที่ตอบโจทย์ SME ไทยที่ต้องการ Zero Trust ที่แท้จริง ออกใบรับรอง TLS อัตโนมัติทั้งภายในและภายนอก ลด Operational Burden ของทีม DevOps และตอบ Compliance Audit ได้ทันที

    Key Takeaway สำคัญคือ ออกแบบ Two-Tier PKI ตั้งแต่วันแรก เก็บ Root CA แยก Air-gapped ใช้ Lifetime สั้น 24 ชั่วโมง และ Distribute Root Bundle ไปทุก Client ก่อนเปิดใช้งาน

    หากทีมของคุณกำลังวางแผน Internal PKI Migration หรือต้องการ Helm Values ที่ปรับให้เข้ากับ Cluster ของคุณ ทีม ADS FIT สามารถเป็นที่ปรึกษาตั้งแต่ Architecture Review จนถึง Production Cutover ติดต่อเราได้ผ่าน Contact Us

    Tags

    #cert-manager#step-ca#Internal PKI#TLS#Kubernetes#ACME

    สนใจโซลูชันนี้?

    ปรึกษาทีม ADS FIT ฟรี เราพร้อมออกแบบระบบที่ฟิตกับธุรกิจของคุณ

    ติดต่อเรา →

    บทความที่เกี่ยวข้อง

    🌐

    GoAccess 2026: Real-Time Web Log Analyzer Open-Source สำหรับ SME ไทย

    7 พฤษภาคม 2569 · 8 นาที
    🌐

    Multicast IP Networking 2026: คู่มือ IGMP PIM Routing สำหรับ SME ไทย

    7 พฤษภาคม 2569 · 8 นาที
    🌐

    EMQX vs Mosquitto 2026: คู่มือเลือก MQTT Broker สำหรับระบบ IoT SME ไทย

    7 พฤษภาคม 2569 · 9 นาที