Kubernetes ingress tls

Question

我使用下面的命令在本地生成一个密钥。

openssl genrsa -out testsvc.testns.ing.lb.xyz.io.key.pem 2048

并使用以下命令生成CSR（证书签名请求）。

openssl req -new -sha256 -key testsvc.testns.ing.lb.xyz.io.key.pem -subj“/CN=testsvc.testns.ing.lb.xyz.io”

我使用上面的CSR文件生成了证书链文件，最后获得了以下文件。

testsvc.testns.ing.lb.xyz.io.chain.pem

我试图将它们用于入口tls，下面是入口tls的命令。

kubectl创建秘密tls custom-tls-cert --key /path/to/tls.key --cert /path/to/tls.crt

不确定，我如何使用上面的命令使用chain.pem文件和key.pem文件。 尝试从chain.pem生成crt并在kubectl上获取错误创建秘密。

"error: failed to load key pair tls: failed to find any PEM data in certificate input"

我想创建以下秘密。

apiVersion: v1
data:
  tls.crt: base64 encoded cert
  tls.key: base64 encoded key
kind: Secret
metadata:
  name: testsecret
  namespace: default
type: Opaque

不知道如何使用chain.pem文件生成.crt和.key文件。

谢谢

Answer 1

首先，让我们澄清密钥，CSR和证书是什么。

key - 本地生成的秘密文件显示/发送给noone（key.pem）
csr - 由key.pem生成的文件（request.pem），需要发送到CA（证书颁发机构）。 （您可以拥有自己的CA，但通常由其他人管理）。
cert - 基于request.pem及其自己的CA私钥由CA创建的文件（cert.pem）

现在，您可以使用这两个文件（ key.pem和cert.pem在服务和客户端之间创建安全连接。

我想你只创建了一个密钥和一个请求。 因此，您需要更进一步，从CA获取证书。

出于测试目的，您可以使用一个命令创建新密钥和自签名证书：

openssl req -x509 -newkey rsa：4096 -keyout key.pem -out cert.pem -days 365 -nodes -subj“/ C = US / ST = Florida / L = Miami / O = SomeCompany / OU = ITdepartment / CN = www.mydomain.com”

（根据您的需要调整）

有不同类型的密钥和证书，很容易找到将一种格式转换为另一种格式的方法。

在创建Secret时使用PEM格式的证书和密钥应该可以正常工作。

只需将密钥和证书插入该命令，如下所示：

kubectl create secret tls testsecret --key key.pem --cert cert.pem  

此命令创建一个Secret对象，并使用base64对key.pem和cert.pem内容进行编码。

您可以使用以下命令检查创建的对象的内容：

kubectl get secret testsecret -o yaml

echo "tls.crt: content" | base64 --decode

例如：

echo "LS0t...tLS0tLQo=" | base64 --decode

在此处阅读有关使用和生成证书的更多信
https://www.sslshopper.com/article-most-common-openssl-commands.html

如何使用openssl创建自签名证书？

https://docs.bitnami.com/kubernetes/how-to/secure-kubernetes-services-with-ingress-tls-letsencrypt/

https://kubernetes.io/docs/concepts/configuration/secret/