审批策略

在发行流程中，通常有两个地方可以拒绝不符合要求的证书请求：在将 X.509 证书签署请求 (CSR) 发送给颁发者之前，以及在颁发者收到 X.509 证书之后。在第一种情况下，是 cert-manager 拒绝该请求。在第二种情况下，是颁发者拒绝该请求。

在将 X.509 证书签名请求 (CSR) 发送给颁发机构之前拒绝请求

cert-manager 要求在将 证书请求 发送给颁发机构之前先批准它。同样，证书签名请求必须在发送给颁发机构之前获得批准。此批准是通过在资源中添加 批准条件 来完成的。

在默认安装中，cert-manager 会自动批准所有使用其任何内置颁发机构的证书请求和证书签名请求。这样做是为了简化使用 cert-manager 的首次体验。但是，不建议在生产环境中使用这种方式。相反，您应该配置一个更严格的自动批准者，限制谁可以请求哪些证书。 批准者策略 就是这种自动批准者的一个例子。

在颁发机构收到 X.509 证书签名请求 (CSR) 后拒绝请求

收到 X.509 证书签名请求 (CSR) 后，拒绝请求的逻辑取决于颁发机构。cert-manager 支持大量的颁发机构，每个颁发机构都拥有完全的自主权，可以决定拒绝哪些请求以及返回哪些错误消息。此外，颁发机构也可以选择接受所有请求，并覆盖 CSR 中不符合要求的属性。更一般地说，颁发机构可以自由地使用任何逻辑将 X.509 证书签名请求 (CSR) 中的属性映射到 X.509 证书中的属性（参见 颁发策略）。