如何存储和检索部署到Kubernetes的IdentityServer4的签名凭据？

Question

我正在将IdentityServer4实现到我的ASP.NET核心web应用程序中，该应用程序将使用持续部署部署到Kubernetes群集中。

文档讨论了如何添加签名凭据(AddSigningCredential)，大多数教程/指南都演示了如何通过从文件系统加载.pfx文件或使用本地证书存储并按主题名称进行搜索来使用它。

在部署到Kubernetes集群时，是否有一种普遍接受的方式来存储、检索和轮换签名凭据，并且只需最少的干预？

Answer 1

我认为在Kubernetes中使用秘密是最好的选择。K8s有一个秘密类型，可以与其他资源一起部署，这里有一个官方文档的链接：https://kubernetes.io/docs/tasks/inject-data-application/distribute-credentials-secure/，或者你也可以使用另一个秘密管理器，如Vault。如果我没记错的话，我认为这是最好的实践。