🔐 Ajouter un certificat CA personnalisé dans Uptime Kuma sur Kubernetes

Introduction

Lorsque vous déployez Uptime Kuma sur Kubernetes pour surveiller des services HTTPS internes, vous pouvez être confronté à l’erreur suivante :

❌ unable to verify the first certificate

Cela se produit lorsque le conteneur ne parvient pas à vérifier la chaîne de certification d’un certificat SSL, souvent parce qu’il s’agit d’un certificat interne non reconnu par les autorités racines publiques.

Dans ce tutoriel, nous allons voir comment :

• Ajouter un certificat CA interne dans Kubernetes via une ConfigMap
• Le monter dans le conteneur d’Uptime Kuma
• Configurer correctement NODE_EXTRA_CA_CERTS pour que Node.js le prenne en compte
• Vérifier que tout fonctionne ✅

---

📋 Prérequis

• Un cluster Kubernetes fonctionnel
• Uptime Kuma déployé dans un namespace (ici monitoring)
• Un certificat .crt, .pem ou .p7b contenant la chaîne CA
• Un éditeur YAML ou Helm, selon ta stack

---

🧾 Étape 1 — Extraire la chaîne de certificats depuis un fichier .p7b (facultatif)

Si ton fichier est au format .p7b (PKCS#7), tu peux l’extraire avec OpenSSL :

openssl pkcs7 -print_certs -in mon-certificat.p7b -out fullchain.pem

Le fichier fullchain.pem doit contenir :

1. Le certificat intermédiaire
2. Le certificat racine

⚠️ Ne pas inclure le certificat serveur dans ce fichier.

---

📁 Étape 2 — Créer la ConfigMap contenant le certificat

Crée un fichier custom-ca-configmap.yaml :

apiVersion: v1
kind: ConfigMap
metadata:
  name: custom-ca-configmap
  namespace: monitoring
data:
  custom-ca.pem: |
    -----BEGIN CERTIFICATE-----
    MIIDXTCCAkWgAwIBAgIQJ0bpn++M7LhCt20iYNFAlzANBgkqhkiG9w0BAQsFADBB
    ...
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    MIIDXTCCAkWgAwIBAgIQJ0bpn++M7LhCt20iYNFAlzANBgkqhkiG9w0BAQsFADBB
    ...
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    MIIDXTCCAkWgAwIBAgIQJ0bpn++M7LhCt20iYNFAlzANBgkqhkiG9w0BAQsFADBB
    ...
    -----END CERTIFICATE-----

💡 Assure-toi que le fichier est bien indenté, sans caractères spéciaux ou lignes corrompues.

Applique la ConfigMap :

kubectl apply -f custom-ca-configmap.yaml

---

🧱 Étape 3 — Monter le certificat dans le conteneur

Modifie le Deployment d’Uptime Kuma pour inclure le volume et la variable d’environnement NODE_EXTRA_CA_CERTS.

Extrait YAML :

        env:
        - name: NODE_EXTRA_CA_CERTS
          value: /etc/ssl/certs/custom-ca.pem

        volumeMounts:
        - name: custom-ca
          mountPath: /etc/ssl/certs/custom-ca.pem
          subPath: custom-ca.pem
          readOnly: true

      volumes:
      - name: custom-ca
        configMap:
          name: custom-ca-configmap

---

🔁 Étape 4 — Redémarrer le déploiement

Kubernetes ne recharge pas automatiquement les ConfigMap avec subPath. Il faut redémarrer le pod :

kubectl rollout restart deployment uptime-kuma -n monitoring

---

🧪 Étape 5 — Vérification

1. Connecte-toi à l’interface Uptime Kuma
2. Ajoute ou édite une URL HTTPS interne de ton infrastructure, par exemple : https://service-interne.example.local/
3. Vérifie que l’erreur « unable to verify the first certificate » a disparu ✅

---

🛠️ Dépannage

📌 Fichier non trouvé ?

Vérifie dans le pod :

kubectl exec -n monitoring <pod> -- ls -l /etc/ssl/certs/custom-ca.pem

📌 Certificat mal formaté ?

Utilise openssl x509 pour valider :

openssl x509 -in fullchain.pem -noout -text

---

📈 Référencement SEO : mots-clés utilisés

• uptime kuma certificat interne
• NODE_EXTRA_CA_CERTS Kubernetes
• ajout CA Kubernetes
• ConfigMap certificat TLS interne
• unable to verify the first certificate Node.js

---

📦 Conclusion

Ajouter un certificat CA personnalisé dans Uptime Kuma sur Kubernetes est simple une fois qu’on connaît la bonne méthode : injecter la chaîne via une ConfigMap, la monter proprement dans le conteneur, et informer Node.js avec NODE_EXTRA_CA_CERTS.

Cela permet de surveiller des services HTTPS internes sans erreurs SSL, même avec des certificats auto-signés ou délivrés par une autorité privée.

---