我遵循了这个 DigitalOcean 指南https://www.digitalocean.com/community/tutorials/how-to-set-up-an-nginx-ingress-with-cert-manager-on-digitalocean-kubernetes https://www.digitalocean.com/community/tutorials/how-to-set-up-an-nginx-ingress-with-cert-manager-on-digitalocean-kubernetes,我遇到了一些很奇怪的事情。当我在主机名中设置通配符时,然后letsencrypt
颁发新证书失败。而当我只设置定义的子域时,它就可以完美工作。
这是我的域及其 api 的“工作”配置(并且这个配置完美):
apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
name: my-ingress
annotations:
cert-manager.io/cluster-issuer: "letsencrypt-staging"
spec:
tls:
- hosts:
- example.com
- api.example.com
secretName: my-tls
rules:
- host: example.com
http:
paths:
- backend:
serviceName: example-frontend
servicePort: 80
- host: api.example.com
http:
paths:
- backend:
serviceName: example-api
servicePort: 80
相反,这是我尝试颁发的通配符证书,但未能留下“正在颁发”消息。
apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
name: my-ingress
annotations:
cert-manager.io/cluster-issuer: "letsencrypt-staging"
spec:
tls:
- hosts:
- example.com
- *.example.com
secretName: my-tls
rules:
- host: example.com
http:
paths:
- backend:
serviceName: example-frontend
servicePort: 80
- host: api.example.com
http:
paths:
- backend:
serviceName: example-api
servicePort: 80
唯一的区别是第二行的主持人。是否有一个我不知道的众所周知的简单解决方案?我是 Kubernetes 新手,但对 DevOps 还不是。
生成通配符证书cert-manager
(letsencrypt
)需要使用DNS-01
挑战而不是HTTP-01
在问题的链接中使用 https://www.digitalocean.com/community/tutorials/how-to-set-up-an-nginx-ingress-with-cert-manager-on-digitalocean-kubernetes:
Let’s Encrypt 是否颁发通配符证书?
是的。通配符颁发必须通过 ACMEv2 使用 DNS-01 质询来完成。看这个帖子 https://community.letsencrypt.org/t/acme-v2-production-environment-wildcards/55578了解更多技术信息。
有一个关于生成的文档wildcard
证书与cert-manager
:
- Cert-manager.io:文档:配置:ACME:DNS-01 https://cert-manager.io/docs/configuration/acme/dns01/
从DigitalOcean的角度来看,有一个专门针对它的指南:
该提供商使用 KubernetesSecret
资源来工作。在下面的
例如,Secret
必须被命名digitalocean-dns
并有一个
子密钥access-token
里面有令牌。例如:
apiVersion: v1
kind: Secret
metadata:
name: digitalocean-dns
namespace: cert-manager
data:
# insert your DO access token here
access-token: "base64 encoded access-token here"
访问令牌必须具有写入权限。
要创建个人访问令牌,请参阅DigitalOcean 文档 https://www.digitalocean.com/docs/api/create-personal-access-token.
方便的直接链接:https://cloud.digitalocean.com/account/api/tokens/new https://cloud.digitalocean.com/account/api/tokens/new
要将您的访问令牌编码为 base64,您可以使用以下命令
echo -n 'your-access-token' | base64 -w 0
apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
name: example-issuer
spec:
acme:
...
solvers:
- dns01:
digitalocean:
tokenSecretRef:
name: digitalocean-dns
key: access-token
-- Cert-manager.io:文档:配置:ACME:DNS-01:Digitalocean https://cert-manager.io/docs/configuration/acme/dns01/digitalocean/
我认为这些额外的资源也可以有所帮助:
- Stackoverflow.com:问题:Kubernetes 中带有子域重定向的通配符 SSL 证书 https://stackoverflow.com/questions/51613842/wildcard-ssl-certificate-with-subdomain-redirect-in-kubernetes
- Itnext.io:在 Kubernetes 中使用带有 cert-manager 的通配符证书 https://itnext.io/using-wildcard-certificates-with-cert-manager-in-kubernetes-and-replicating-across-all-namespaces-5ed1ea30bb93
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)