quay.io/jetstack/cert-manager-webhook:v1.8.2

cert-manager-webhook 是 Jetstack（现归属 Venafi）开发的 cert-manager 扩展组件，主要用于对接外部证书颁发机构（CA），扩展 Kubernetes 环境下的证书管理能力。

作为 cert-manager 的“桥梁”组件，它的核心功能是在 cert-manager 与第三方 CA 之间建立通信通道。cert-manager 原生支持 Let's Encrypt、HashiCorp Vault 等常见 CA，但面对企业自建私有 CA、行业合规 CA（如***领域的国密 CA）或云厂商提供的 CA 服务（如 AWS ACM、Azure Key Vault）时，就需要通过 webhook 来实现对接。webhook 会接收 cert-manager 发起的证书申请请求，按目标 CA 的接口规范转换请求格式，转发至 CA 并获取签发证书，再将结果返回给 cert-manager，全程遵循 Kubernetes 原生的证书管理流程（如通过 Certificate、Issuer 等 CRD 资源定义证书需求）。

这种设计让用户无需修改 cert-manager 核心代码，就能快速集成各类 CA。例如，企业可通过它对接内部 PKI 系统，实现私有服务间的 TLS 证书自动化签发；***机构可借助它对接符合《网络安全法》要求的合规 CA，满足监管对证书链的审计需求；云原生团队则能通过它接入 AWS ACM、阿里云 KMS 等云 CA，统一管理跨集群证书。

它的优势在于轻量化和原生集成：作为独立组件部署，不侵入 cert-manager 核心逻辑，仅通过自定义资源（如 ClusterIssuer）配置即可启用；与 Kubernetes 原生资源模型完全兼容，用户可沿用 cert-manager 的证书申请、续期、吊销等操作流程，无需额外学习成本。同时，Jetstack 作为 cert-manager 的原开发团队，确保了该组件与 cert-manager 版本的兼容性和长期维护支持。

对于需要在 Kubernetes 集群中管理多样化 CA 证书的场景，cert-manager-webhook 提供了灵活且低侵入的扩展方案，是企业级证书管理的实用工具。