0
点赞
收藏
分享

微信扫一扫

Cert Manager

凶猛的小白兔 2022-10-28 阅读 84
docker容器运维ednjson编程语言


  1. issuer privateKeySecretRef 自动生成的private key,填写一个名字即可
  2. 使用kubectl describe 查看对应的资源,可以看到创建成功与否,以及失败的信息issuer cert order 等一层层的往下看,都有详细的出错信息;
  3. ACME Issuer type represents a single Account registered with the ACME server.

1 register -> 生成的fulldomain
2. 添加dns记录 _acme-challenge.targetdomain.com cname fulldomain
3. regiseter的结果创建acmedns.json文件,格式如下

{
  "taomiao.store": {
    "username": "ec953ce2-a147-4980-816a-9fd820b086da",
    "password": "HqJxoWxm7bVsA12prMOJFlakouNGNs39v0AZIlP3",
    "fulldomain": "e214d520-19c9-4d32-858d-99818ea41654.auth.acme-dns.io",
    "subdomain": "e214d520-19c9-4d32-858d-99818ea41654",
    "allowfrom": []
  }
}

kubectl create secret generic acme-dns --from-file acmedns.json
不同的域名都可以配置这一个regiseter账号,配置对应的dns记录,同时维护好acmedns.json文件即可;

  1. 根据上面的信息创建issue

apiVersion: certmanager.k8s.io/v1alpha1
kind: Issuer
metadata:
  name: letsencrypt-staging
  namespace: cert-manager
spec:
  acme:
    server: https://acme-staging-v02.api.letsencrypt.org/directory
    privateKeySecretRef:
         name: letsencrypt-staging
    solvers:
    - dns01:
        acmedns:
          host: https://auth.acme-dns.io
          accountSecretRef:
            name: acme-dns
            key: acmedns.json

创建完成之后,使用kubectl describe 可以查看创建成功与否,如果失败,会茶看到详细的失败信息。正式环境可以使用如下的配置

apiVersion: certmanager.k8s.io/v1alpha1
kind: Issuer
metadata:
  name: letsencrypt-prod
  namespace: cert-manager
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    privateKeySecretRef:
         name: letsencrypt-prod
    solvers:
    - dns01:
        acmedns:
          host: https://auth.acme-dns.io
          accountSecretRef:
            name: acme-dns
            key: acmedns.json

  1. 更具上面的信息创建 Certificate

apiVersion: certmanager.k8s.io/v1alpha1
kind: Certificate
metadata:
  name: taomiao-store
  namespace: cert-manager
spec:
  secretName: taomiao-store-tls
  renewBefore: 360h # 15d
  commonName: taomiao.store
  dnsNames:
  - taomiao.store
  issuerRef:
    name: letsencrypt-staging
    kind: Issuer

创建好这个文件之后,cert manager立马开始生成证书的流程
可以通过kubectl describe 命令查看issuer cert order challenge

  1. 创建万 Cert之后,如果没有出错,就会生成一个名为 taomiao-store-tls(Certificate.spec.secretName) 的secret;
    可以看到生成的证书的key 和 证书本身;
    生成fullchain.crt证书,有自己域名的证书和let’s的ca证书,可以直接用;微信里面也没有问题。

cert manager 实现自动花的原理

  1. dns01
    使用第三方的acme-dns + acme.sh这种方式
    可以看到,只需要在目标域名配置一个cname即可实现安全的自动化;

参考

​​Setting up Issuers » Setting up ACME Issuers » Configuring DNS01 Challenge Providers » ACME-DNS​​​​利用cert-manager让Ingress启用免费的HTTPS证书​​​​cert-manager’s documentation​​



举报

相关推荐

cert-manager生成https证书

k8skubernetes

cert-manager接管域名ssl免费证书

html云托管云平台云计算

Cert Manager 申请SSL证书流程及相关概念-二

kubernetes容器dockerDocker云计算

Cert-manager自动管理k8s https证书

nginxDNSAPIRedis数据库

k3s+traefik+cert-manager+letsencrypt实现web服务全https

httpstraefik TLS认证配置虚拟化云计算

docker cert目录

服务器Docker2d云计算

Cert-Manager 实现 K8s 服务域名证书自动化续签

cert-managerkubernetes自签证书运维私藏项目实操分享

RKE安装k8s及部署高可用rancher之证书通过cert-manager

java开发语言

npm ERR! code CERT_HAS_EXPIREDnpm ERR! errno CERT_HAS_EXPIRED

npm

k8s证书续期:使用Cert Manager为K8S集群证书续期操作示例

kubernetes容器云原生YAML全局对象JavaScript前端开发
0 条评论