CertificateRequestPolicySpec 定义 CertificateRequestPolicy 的期望状态。

CertificateRequestPolicyStatus 定义 CertificateRequestPolicy 的观察到的状态。

Selector 用于选择此 CertificateRequestPolicy 适用的 CertificateRequests，并将用于其批准评估。

Allowed 定义 CertificateRequest 的允许属性。CertificateRequest 可以请求少于允许的属性，但不能多于，即 CertificateRequest 可以请求策略声明为允许的属性子集。省略的字段声明等效 CertificateRequest 字段必须被省略或具有空值才能允许请求。

Constraints 定义 CertificateRequest 必须满足的字段，才能允许此策略批准请求。省略的字段不会对请求中相应的属性施加任何限制。

Plugins 是在 approver-policy 编译时内置的批准者。这是一种高级功能，通常用于扩展 approver-policy 的核心功能。此字段定义插件及其配置，这些配置应在使用此策略评估 CertificateRequest 时执行。

IssuerRef 用于按发行者匹配，这意味着 CertificateRequestPolicy 仅评估引用匹配发行者的 CertificateRequests。如果发行者不匹配，CertificateRequests 不会被处理，无论请求者是否受 RBAC 绑定。

以下值将匹配所有发行者

issuerRef: {}

Namespace 用于按命名空间匹配，这意味着 CertificateRequestPolicy 仅匹配在匹配命名空间中创建的 CertificateRequests。如果省略此字段，则会检查所有命名空间中的资源。

Group 是用于匹配请求上的 spec.issuerRef.group 字段的通配符选择器。接受通配符“*”。省略的字段匹配所有组。

Kind 是用于匹配请求上的 spec.issuerRef.kind 字段的通配符选择器。接受通配符“*”。省略的字段匹配所有种类。

Name 是一个支持通配符的选择器，它匹配请求的 spec.issuerRef.name 字段。接受通配符“*”。省略的字段匹配所有名称。

MatchLabels 是选择在与选择器匹配的命名空间中创建的 CertificateRequests 的命名空间标签集。

MatchNames 是选择在与选择器匹配的命名空间中创建的 CertificateRequests 的命名空间名称集。接受通配符“*”。TODO: 在 v1alpha2 中添加 x-kubernetes-list-type: set

CommonName 定义可以请求的 X.509 通用名称。

DNSNames 定义可以请求的 X.509 DNS SAN。

EmailAddresses 定义可以请求的 X.509 电子邮件 SAN。

IPAddresses 定义可以请求的 X.509 IP SAN。

IsCA 定义 CertificateRequest 是否允许将 spec.isCA 字段设置为 true。如果为 true，则 spec.isCA 字段可以为 true 或 false。如果为 false 或未设置，则 spec.isCA 字段必须为 false。

Subject 声明 CertificateRequest 中允许的 X.509 主题属性。省略的字段禁止请求任何主题属性。CertificateRequest 可以请求允许的 X.509 主题属性的子集。

URIs 定义可以请求的 X.509 URI SAN。

Usages 定义可以在 CertificateRequest spec.keyUsages 字段中包含的密钥用途。如果已设置，则 CertificateRequest 中的 spec.keyUsages 必须是指定值的子集。如果为 [] 或未设置，则不允许任何 spec.keyUsages。TODO: 在 v1alpha2 中添加 x-kubernetes-list-type: set

Required 标记相关字段必须提供且不能是空字符串。默认为 false。

Validations 使用通用表达式语言 (CEL) 应用规则来验证请求上存在的属性值，这些属性值超出了使用 value/required 可以表达的范围。相关 CertificateRequest 字段上的属性值必须通过所有验证，才能使请求通过此策略批准。

Value 定义相关 CertificateRequest 字段上允许的属性值。接受通配符“*”。如果已设置，则相关字段必须与指定模式匹配。

注意: value: "" 与 required: true 配合使用，可以建立一个永远不会授予 CertificateRequest 的策略，但其他策略可以授予。

Rule 表示将由 CEL 评估的表达式。参考: https://github.com/google/cel-spec Rule 的范围限定在架构中验证的所在位置。CEL 表达式中的 self 变量绑定到范围内的值。为了支持更高级的验证规则，approver-policy 为 CEL 表达式提供了 cr (map) 变量，其中包含 namespace 和 name 的 CertificateRequest 资源。

示例（针对命名空间 DNSNames 的规则）

rule: self.endsWith(cr.namespace + '.svc.cluster.local')

Message 是验证失败时显示的消息。如果 Rule 包含换行符，则 Message 是必需的。请注意，Message 绝不能包含换行符。如果未设置，则使用备用消息：“failed rule: <rule>”。例如：“必须是主机与 spec.host 匹配的 URL”

Required 控制相关字段是否必须至少有一个值。默认为 false。

Validations 使用通用表达式语言 (CEL) 应用规则来验证请求上存在的属性值，这些属性值超出了使用 values/required 可以表达的范围。相关 CertificateRequest 字段上的所有属性值必须通过所有验证，才能使请求通过此策略批准。

Values 定义相关 CertificateRequest 字段上允许的属性值。接受通配符“*”。如果已设置，则相关字段只能包含允许的值中的项。

注意：values: [] 与 required: true 结合在一起，建立了一项永远不会授予 CertificateRequest 的策略，但其他策略可能会授予。待办事项：在 v1alpha2 中添加 x-kubernetes-list-type: set。

Rule 表示将由 CEL 评估的表达式。参考: https://github.com/google/cel-spec Rule 的范围限定在架构中验证的所在位置。CEL 表达式中的 self 变量绑定到范围内的值。为了支持更高级的验证规则，approver-policy 为 CEL 表达式提供了 cr (map) 变量，其中包含 namespace 和 name 的 CertificateRequest 资源。

示例（针对命名空间 DNSNames 的规则）

rule: self.endsWith(cr.namespace + '.svc.cluster.local')

Message 是验证失败时显示的消息。如果 Rule 包含换行符，则 Message 是必需的。请注意，Message 绝不能包含换行符。如果未设置，则使用备用消息：“failed rule: <rule>”。例如：“必须是主机与 spec.host 匹配的 URL”

Required 控制相关字段是否必须至少有一个值。默认为 false。

Validations 使用通用表达式语言 (CEL) 应用规则来验证请求上存在的属性值，这些属性值超出了使用 values/required 可以表达的范围。相关 CertificateRequest 字段上的所有属性值必须通过所有验证，才能使请求通过此策略批准。

Values 定义相关 CertificateRequest 字段上允许的属性值。接受通配符“*”。如果已设置，则相关字段只能包含允许的值中的项。

注意：values: [] 与 required: true 结合在一起，建立了一项永远不会授予 CertificateRequest 的策略，但其他策略可能会授予。待办事项：在 v1alpha2 中添加 x-kubernetes-list-type: set。

Rule 表示将由 CEL 评估的表达式。参考: https://github.com/google/cel-spec Rule 的范围限定在架构中验证的所在位置。CEL 表达式中的 self 变量绑定到范围内的值。为了支持更高级的验证规则，approver-policy 为 CEL 表达式提供了 cr (map) 变量，其中包含 namespace 和 name 的 CertificateRequest 资源。

示例（针对命名空间 DNSNames 的规则）

rule: self.endsWith(cr.namespace + '.svc.cluster.local')

Message 是验证失败时显示的消息。如果 Rule 包含换行符，则 Message 是必需的。请注意，Message 绝不能包含换行符。如果未设置，则使用备用消息：“failed rule: <rule>”。例如：“必须是主机与 spec.host 匹配的 URL”

Required 控制相关字段是否必须至少有一个值。默认为 false。

Validations 使用通用表达式语言 (CEL) 应用规则来验证请求上存在的属性值，这些属性值超出了使用 values/required 可以表达的范围。相关 CertificateRequest 字段上的所有属性值必须通过所有验证，才能使请求通过此策略批准。

Values 定义相关 CertificateRequest 字段上允许的属性值。接受通配符“*”。如果已设置，则相关字段只能包含允许的值中的项。

注意：values: [] 与 required: true 结合在一起，建立了一项永远不会授予 CertificateRequest 的策略，但其他策略可能会授予。待办事项：在 v1alpha2 中添加 x-kubernetes-list-type: set。

Rule 表示将由 CEL 评估的表达式。参考: https://github.com/google/cel-spec Rule 的范围限定在架构中验证的所在位置。CEL 表达式中的 self 变量绑定到范围内的值。为了支持更高级的验证规则，approver-policy 为 CEL 表达式提供了 cr (map) 变量，其中包含 namespace 和 name 的 CertificateRequest 资源。

示例（针对命名空间 DNSNames 的规则）

rule: self.endsWith(cr.namespace + '.svc.cluster.local')

Message 是验证失败时显示的消息。如果 Rule 包含换行符，则 Message 是必需的。请注意，Message 绝不能包含换行符。如果未设置，则使用备用消息：“failed rule: <rule>”。例如：“必须是主机与 spec.host 匹配的 URL”

国家定义了可以请求的 X.509 主题国家。

地区定义了可以请求的 X.509 主题地区。

组织单位定义了可以请求的 X.509 主题组织单位。

组织定义了可以请求的 X.509 主题组织。

邮政编码定义了可以请求的 X.509 主题邮政编码。

省份定义了可以请求的 X.509 主题省份。

序列号定义了可以请求的 X.509 主题序列号。

街道地址定义了可以请求的 X.509 主题街道地址。

Required 控制相关字段是否必须至少有一个值。默认为 false。

Validations 使用通用表达式语言 (CEL) 应用规则来验证请求上存在的属性值，这些属性值超出了使用 values/required 可以表达的范围。相关 CertificateRequest 字段上的所有属性值必须通过所有验证，才能使请求通过此策略批准。

Values 定义相关 CertificateRequest 字段上允许的属性值。接受通配符“*”。如果已设置，则相关字段只能包含允许的值中的项。

注意：values: [] 与 required: true 结合在一起，建立了一项永远不会授予 CertificateRequest 的策略，但其他策略可能会授予。待办事项：在 v1alpha2 中添加 x-kubernetes-list-type: set。

Rule 表示将由 CEL 评估的表达式。参考: https://github.com/google/cel-spec Rule 的范围限定在架构中验证的所在位置。CEL 表达式中的 self 变量绑定到范围内的值。为了支持更高级的验证规则，approver-policy 为 CEL 表达式提供了 cr (map) 变量，其中包含 namespace 和 name 的 CertificateRequest 资源。

示例（针对命名空间 DNSNames 的规则）

rule: self.endsWith(cr.namespace + '.svc.cluster.local')

Message 是验证失败时显示的消息。如果 Rule 包含换行符，则 Message 是必需的。请注意，Message 绝不能包含换行符。如果未设置，则使用备用消息：“failed rule: <rule>”。例如：“必须是主机与 spec.host 匹配的 URL”

Required 控制相关字段是否必须至少有一个值。默认为 false。

Validations 使用通用表达式语言 (CEL) 应用规则来验证请求上存在的属性值，这些属性值超出了使用 values/required 可以表达的范围。相关 CertificateRequest 字段上的所有属性值必须通过所有验证，才能使请求通过此策略批准。

Values 定义相关 CertificateRequest 字段上允许的属性值。接受通配符“*”。如果已设置，则相关字段只能包含允许的值中的项。

注意：values: [] 与 required: true 结合在一起，建立了一项永远不会授予 CertificateRequest 的策略，但其他策略可能会授予。待办事项：在 v1alpha2 中添加 x-kubernetes-list-type: set。

Rule 表示将由 CEL 评估的表达式。参考: https://github.com/google/cel-spec Rule 的范围限定在架构中验证的所在位置。CEL 表达式中的 self 变量绑定到范围内的值。为了支持更高级的验证规则，approver-policy 为 CEL 表达式提供了 cr (map) 变量，其中包含 namespace 和 name 的 CertificateRequest 资源。

示例（针对命名空间 DNSNames 的规则）

rule: self.endsWith(cr.namespace + '.svc.cluster.local')

Message 是验证失败时显示的消息。如果 Rule 包含换行符，则 Message 是必需的。请注意，Message 绝不能包含换行符。如果未设置，则使用备用消息：“failed rule: <rule>”。例如：“必须是主机与 spec.host 匹配的 URL”

Required 控制相关字段是否必须至少有一个值。默认为 false。

Validations 使用通用表达式语言 (CEL) 应用规则来验证请求上存在的属性值，这些属性值超出了使用 values/required 可以表达的范围。相关 CertificateRequest 字段上的所有属性值必须通过所有验证，才能使请求通过此策略批准。

Values 定义相关 CertificateRequest 字段上允许的属性值。接受通配符“*”。如果已设置，则相关字段只能包含允许的值中的项。

注意：values: [] 与 required: true 结合在一起，建立了一项永远不会授予 CertificateRequest 的策略，但其他策略可能会授予。待办事项：在 v1alpha2 中添加 x-kubernetes-list-type: set。

Rule 表示将由 CEL 评估的表达式。参考: https://github.com/google/cel-spec Rule 的范围限定在架构中验证的所在位置。CEL 表达式中的 self 变量绑定到范围内的值。为了支持更高级的验证规则，approver-policy 为 CEL 表达式提供了 cr (map) 变量，其中包含 namespace 和 name 的 CertificateRequest 资源。

示例（针对命名空间 DNSNames 的规则）

rule: self.endsWith(cr.namespace + '.svc.cluster.local')

Message 是验证失败时显示的消息。如果 Rule 包含换行符，则 Message 是必需的。请注意，Message 绝不能包含换行符。如果未设置，则使用备用消息：“failed rule: <rule>”。例如：“必须是主机与 spec.host 匹配的 URL”

Required 控制相关字段是否必须至少有一个值。默认为 false。

Validations 使用通用表达式语言 (CEL) 应用规则来验证请求上存在的属性值，这些属性值超出了使用 values/required 可以表达的范围。相关 CertificateRequest 字段上的所有属性值必须通过所有验证，才能使请求通过此策略批准。

Values 定义相关 CertificateRequest 字段上允许的属性值。接受通配符“*”。如果已设置，则相关字段只能包含允许的值中的项。

注意：values: [] 与 required: true 结合在一起，建立了一项永远不会授予 CertificateRequest 的策略，但其他策略可能会授予。待办事项：在 v1alpha2 中添加 x-kubernetes-list-type: set。

Rule 表示将由 CEL 评估的表达式。参考: https://github.com/google/cel-spec Rule 的范围限定在架构中验证的所在位置。CEL 表达式中的 self 变量绑定到范围内的值。为了支持更高级的验证规则，approver-policy 为 CEL 表达式提供了 cr (map) 变量，其中包含 namespace 和 name 的 CertificateRequest 资源。

示例（针对命名空间 DNSNames 的规则）

rule: self.endsWith(cr.namespace + '.svc.cluster.local')

Message 是验证失败时显示的消息。如果 Rule 包含换行符，则 Message 是必需的。请注意，Message 绝不能包含换行符。如果未设置，则使用备用消息：“failed rule: <rule>”。例如：“必须是主机与 spec.host 匹配的 URL”

Required 控制相关字段是否必须至少有一个值。默认为 false。

Validations 使用通用表达式语言 (CEL) 应用规则来验证请求上存在的属性值，这些属性值超出了使用 values/required 可以表达的范围。相关 CertificateRequest 字段上的所有属性值必须通过所有验证，才能使请求通过此策略批准。

Values 定义相关 CertificateRequest 字段上允许的属性值。接受通配符“*”。如果已设置，则相关字段只能包含允许的值中的项。

注意：values: [] 与 required: true 结合在一起，建立了一项永远不会授予 CertificateRequest 的策略，但其他策略可能会授予。待办事项：在 v1alpha2 中添加 x-kubernetes-list-type: set。

Rule 表示将由 CEL 评估的表达式。参考: https://github.com/google/cel-spec Rule 的范围限定在架构中验证的所在位置。CEL 表达式中的 self 变量绑定到范围内的值。为了支持更高级的验证规则，approver-policy 为 CEL 表达式提供了 cr (map) 变量，其中包含 namespace 和 name 的 CertificateRequest 资源。

示例（针对命名空间 DNSNames 的规则）

rule: self.endsWith(cr.namespace + '.svc.cluster.local')

Message 是验证失败时显示的消息。如果 Rule 包含换行符，则 Message 是必需的。请注意，Message 绝不能包含换行符。如果未设置，则使用备用消息：“failed rule: <rule>”。例如：“必须是主机与 spec.host 匹配的 URL”

Required 控制相关字段是否必须至少有一个值。默认为 false。

Validations 使用通用表达式语言 (CEL) 应用规则来验证请求上存在的属性值，这些属性值超出了使用 values/required 可以表达的范围。相关 CertificateRequest 字段上的所有属性值必须通过所有验证，才能使请求通过此策略批准。

Values 定义相关 CertificateRequest 字段上允许的属性值。接受通配符“*”。如果已设置，则相关字段只能包含允许的值中的项。

注意：values: [] 与 required: true 结合在一起，建立了一项永远不会授予 CertificateRequest 的策略，但其他策略可能会授予。待办事项：在 v1alpha2 中添加 x-kubernetes-list-type: set。

Rule 表示将由 CEL 评估的表达式。参考: https://github.com/google/cel-spec Rule 的范围限定在架构中验证的所在位置。CEL 表达式中的 self 变量绑定到范围内的值。为了支持更高级的验证规则，approver-policy 为 CEL 表达式提供了 cr (map) 变量，其中包含 namespace 和 name 的 CertificateRequest 资源。

示例（针对命名空间 DNSNames 的规则）

rule: self.endsWith(cr.namespace + '.svc.cluster.local')

Message 是验证失败时显示的消息。如果 Rule 包含换行符，则 Message 是必需的。请注意，Message 绝不能包含换行符。如果未设置，则使用备用消息：“failed rule: <rule>”。例如：“必须是主机与 spec.host 匹配的 URL”

Required 标记相关字段必须提供且不能是空字符串。默认为 false。

Validations 使用通用表达式语言 (CEL) 应用规则来验证请求上存在的属性值，这些属性值超出了使用 value/required 可以表达的范围。相关 CertificateRequest 字段上的属性值必须通过所有验证，才能使请求通过此策略批准。

Value 定义相关 CertificateRequest 字段上允许的属性值。接受通配符“*”。如果已设置，则相关字段必须与指定模式匹配。

注意: value: "" 与 required: true 配合使用，可以建立一个永远不会授予 CertificateRequest 的策略，但其他策略可以授予。

Rule 表示将由 CEL 评估的表达式。参考: https://github.com/google/cel-spec Rule 的范围限定在架构中验证的所在位置。CEL 表达式中的 self 变量绑定到范围内的值。为了支持更高级的验证规则，approver-policy 为 CEL 表达式提供了 cr (map) 变量，其中包含 namespace 和 name 的 CertificateRequest 资源。

示例（针对命名空间 DNSNames 的规则）

rule: self.endsWith(cr.namespace + '.svc.cluster.local')

Message 是验证失败时显示的消息。如果 Rule 包含换行符，则 Message 是必需的。请注意，Message 绝不能包含换行符。如果未设置，则使用备用消息：“failed rule: <rule>”。例如：“必须是主机与 spec.host 匹配的 URL”

Required 控制相关字段是否必须至少有一个值。默认为 false。

Validations 使用通用表达式语言 (CEL) 应用规则来验证请求上存在的属性值，这些属性值超出了使用 values/required 可以表达的范围。相关 CertificateRequest 字段上的所有属性值必须通过所有验证，才能使请求通过此策略批准。

Values 定义相关 CertificateRequest 字段上允许的属性值。接受通配符“*”。如果已设置，则相关字段只能包含允许的值中的项。

注意：values: [] 与 required: true 结合在一起，建立了一项永远不会授予 CertificateRequest 的策略，但其他策略可能会授予。待办事项：在 v1alpha2 中添加 x-kubernetes-list-type: set。

Rule 表示将由 CEL 评估的表达式。参考: https://github.com/google/cel-spec Rule 的范围限定在架构中验证的所在位置。CEL 表达式中的 self 变量绑定到范围内的值。为了支持更高级的验证规则，approver-policy 为 CEL 表达式提供了 cr (map) 变量，其中包含 namespace 和 name 的 CertificateRequest 资源。

示例（针对命名空间 DNSNames 的规则）

rule: self.endsWith(cr.namespace + '.svc.cluster.local')

Message 是验证失败时显示的消息。如果 Rule 包含换行符，则 Message 是必需的。请注意，Message 绝不能包含换行符。如果未设置，则使用备用消息：“failed rule: <rule>”。例如：“必须是主机与 spec.host 匹配的 URL”

Required 控制相关字段是否必须至少有一个值。默认为 false。

Validations 使用通用表达式语言 (CEL) 应用规则来验证请求上存在的属性值，这些属性值超出了使用 values/required 可以表达的范围。相关 CertificateRequest 字段上的所有属性值必须通过所有验证，才能使请求通过此策略批准。

Values 定义相关 CertificateRequest 字段上允许的属性值。接受通配符“*”。如果已设置，则相关字段只能包含允许的值中的项。

注意：values: [] 与 required: true 结合在一起，建立了一项永远不会授予 CertificateRequest 的策略，但其他策略可能会授予。待办事项：在 v1alpha2 中添加 x-kubernetes-list-type: set。

Rule 表示将由 CEL 评估的表达式。参考: https://github.com/google/cel-spec Rule 的范围限定在架构中验证的所在位置。CEL 表达式中的 self 变量绑定到范围内的值。为了支持更高级的验证规则，approver-policy 为 CEL 表达式提供了 cr (map) 变量，其中包含 namespace 和 name 的 CertificateRequest 资源。

示例（针对命名空间 DNSNames 的规则）

rule: self.endsWith(cr.namespace + '.svc.cluster.local')

Message 是验证失败时显示的消息。如果 Rule 包含换行符，则 Message 是必需的。请注意，Message 绝不能包含换行符。如果未设置，则使用备用消息：“failed rule: <rule>”。例如：“必须是主机与 spec.host 匹配的 URL”

MaxDuration 定义证书请求的最大持续时间。值是包含的（例如，值为 1h 将接受 1h 的持续时间）。MinDuration 和 MaxDuration 可以是相同的值。如果设置，则必须在 CertificateRequest 中请求持续时间。省略的字段不会对持续时间应用最大约束。

MinDuration 定义证书请求的最小持续时间。值是包含的（例如，值为 1h 将接受 1h 的持续时间）。MinDuration 和 MaxDuration 可以是相同的值。如果设置，则必须在 CertificateRequest 中请求持续时间。省略的字段不会对持续时间应用最小约束。

PrivateKey 定义对 CertificateRequest 允许的私钥形状的约束。省略的字段不会应用任何私钥形状约束。

Algorithm 定义请求中私钥的允许的加密算法。省略的字段允许任何算法。

枚举: RSA, ECDSA, Ed25519

MaxSize 定义私钥的最大密钥大小。值是包含的（例如，最小值为 2048 将接受大小为 2048 的大小）。MaxSize 和 MinSize 可以是相同的值。省略的字段不会对大小应用最大约束。

MinSize 定义私钥的最小密钥大小。值是包含的（例如，最小值为 2048 将接受大小为 2048 的大小）。MinSize 和 MaxSize 可以是相同的值。省略的字段不会对大小应用最小约束。

值定义了一组对插件来说众所周知的键值对，这些键值对是插件根据此策略成功评估请求所需的。

指示 CertificateRequestPolicy 状态的一系列状态条件。已知的条件类型为 Ready。

条件的状态， ('True', 'False', 'Unknown') 之一。

条件的类型，已知值为 (Ready)。

LastTransitionTime 是与此条件的最后状态更改相对应的 timestamp。

格式: date-time

Message 是对最后过渡细节的人类可读描述，补充了 reason。

如果设置，这表示设置条件的 .metadata.generation。例如，如果 .metadata.generation 当前为 12，但 .status.condition[x].observedGeneration 为 9，则条件相对于 CertificateRequestPolicy 的当前状态而言已过时。

格式: int64

Reason 是对条件的最后过渡的简短机器可读解释。