在Kubernetes中如何使用cert-mananager申请TLS证书
这篇文章主要介绍“在Kubernetes中如何使用cert-mananager申请TLS 证书”,在日常操作中,相信很多人在在Kubernetes中如何使用cert-mananager申请TLS 证书问题上存在疑惑,小编查阅了各式资料,整理出简单好用的操作方法,希望对大家解答”在Kubernetes中如何使用cert-mananager申请TLS 证书”的疑惑有所帮助!接下来,请跟着小编一起来学习吧!
成都创新互联公司主要从事成都网站设计、网站建设、网页设计、企业做网站、公司建网站等业务。立足成都服务金山,10余年网站建设经验,价格优惠、服务专业,欢迎来电咨询建站服务:18982081108
问题描述
在部署 cert-manager 成功后,便可以使用它申请 Let's Encrypt 证书。
解决方案
前置条件
已完成 cert-manager 的部署:参考 2.Installation 笔记;
TL;DR
我们使用提供 ACME 实现的 Let's Encrypt 服务来申请证书,并使用 DNS01 完成质询,所以应该创建类似如下 ClusterIssuer 资源文件:
apiVersion: cert-manager.io/v1 kind: ClusterIssuer metadata: name: example-issuer spec: acme: email: user@example.com server: https://acme-staging-v02.api.letsencrypt.org/directory privateKeySecretRef: name: example-issuer-account-key solvers: - dns01: cloudDNS: project: my-project serviceAccountSecretRef: name: prod-clouddns-svc-acct-secret key: service-account.json
但是,我们使用阿里云 DNS 服务,而不是 cloudDNS 服务,所以上述配置是不行的(无法完成 DNS01 质询)。然而,官方支持 ACMEDNS、Akamai、AzureDNS、CloudFlare、Google、Route53、DigitalOcean、RFC2136 这些 DNS01 服务商,并不包含我们所使用的阿里云服务商。好在 cert-manager 支持 Webhook 以允许定义自己的 DNS provider(这些便是 out-of-tree DNS provider),而这里便有开源的 AliDNS-Webhook 供我们使用(使用过程,参考 alidns-webhook/README.md at master 页面)
第一步、部署 AliDNS-Webhook 实现
结合 AliDNS-Webhook 文档,我们所使用的资源文件及部署过程如下:
./01-bundle.yaml
./02-alidns-secret.yaml
./03-letsencrypt-clusterissuer.yaml
./04-examplexyz-certificate.yaml
注意:1)./03-letsencrypt-clusterissuer.yaml 的 groupName: 与 ./01-bundle.yaml 的 group: 要保持一致,即要同时修改。默认为 acme.yourcompany.com 参数。
kubectl apply -f ./01-bundle.yaml kubectl apply -f ./02-alidns-secret.yaml kubectl apply -f ./03-letsencrypt-clusterissuer.yaml kubectl apply -f ./04-examplexyz-certificate.yaml
第二步、检查证书是否申请成功
# kubectl describe -n default certificates.cert-manager.io example-xyz ... Status: Conditions: Last Transition Time: 2021-05-07T01:30:33Z Message: Certificate is up to date and has not expired Observed Generation: 1 Reason: Ready Status: True Type: Ready Not After: 2021-08-05T00:30:32Z Not Before: 2021-05-07T00:30:32Z Renewal Time: 2021-07-06T00:30:32Z Revision: 1 Events:# kubectl get certificates.cert-manager.io NAME READY SECRET AGE example-xyz True example-xyz 2m // 此时,证书申请成功
切换到 Let's Encrypt 生产环境
证书申请成功之后,还有最后一件事情:我们这里仅是在 Let's Encrypt 的 Staging 环境中完成申请证书的测试,还需要切换到 Let's Encrypt 生产环境。
修改 ./03-letsencrypt-clusterissuer.yaml 的 server: 为 https://acme-v02.api.letsencrypt.org/directory 以使用生产环境来申请真正的证书。
补充说明
更多 DNS 服务商,参考 cert-manager-webhook · GitHub Topics 页面。
常见错误汇总
... is forbidden ... cannot create resource "alidns" in API group ... at the cluster scope
问题描述:
alidns.acme.example.com is forbidden: User "system:serviceaccount:cert-manager:cert-manager" cannot create resource "alidns" in API group "acme.example.com" at the cluster scope
原因分析:./03-letsencrypt-clusterissuer.yaml 的 groupName: 未与 ./01-bundle.yaml 的 group: 要保持一致
解决方案:保持 groupName: 与 group: 一致。
到此,关于“在Kubernetes中如何使用cert-mananager申请TLS 证书”的学习就结束了,希望能够解决大家的疑惑。理论与实践的搭配能更好的帮助大家学习,快去试试吧!若想继续学习更多相关知识,请继续关注创新互联网站,小编会继续努力为大家带来更多实用的文章!
网站题目:在Kubernetes中如何使用cert-mananager申请TLS证书
网页网址:http://pwwzsj.com/article/gjhesc.html