堆栈内存溢出
  繁体   English   中英

如何使用来自 Let's Encrypt 的通配符证书和 cert-manager

[英]How to use Wildcard certificates from Let’s Encrypt with cert-manager

 原文  2020-03-13 17:46:15       kubernetes/ lets-encrypt/ amazon-eks/ cert-manager

问题描述

我创建了两个文件,一个用于 ClusterIssuer,第二个用于 Certificate。 我的域是一个 example.com,我需要使用通配符*.testing.example.com创建一个新的子域,并且我已经在 Route53 中创建了一个名为*.testing.example.com的条目, *.testing.example.com包含 A 记录并使用 nlb 进行映射。

以下是我的个人资料,哪些对我有好处,但我收到错误“msg”=“传播检查失败”“错误”=“testing.example.com”的 DNS 记录尚未传播”

ClusterIssuer.yaml

apiVersion: cert-manager.io/v1alpha2
kind: ClusterIssuer
metadata:
  name: letsencrypt-prod
spec:
  acme:
    # The ACME server URL
    server: https://acme-v02.api.letsencrypt.org/directory
    # Email address used for ACME registration
    email: devops@example.com
    privateKeySecretRef:
            name: letsencrypt-prod
    solvers:
    # example: cross-account zone management for example.com
    # this solver uses ambient credentials (i.e. inferred from the environment or EC2 Metadata Service)
    # to assume a role in a different account
    - selector:
        dnsZones:
          - "example.com"
      dns01:
        route53:
          region: ap-south-1
          hostedZoneID: 71MYVttggee
          role: arn:aws:iam::123456:role/dns-manager




Certificate.yaml

apiVersion: cert-manager.io/v1alpha2
kind: Certificate
metadata:
  name: example-cert
spec:
  secretName: acme-crt
  issuerRef:
    kind: ClusterIssuer
    name: letsencrypt-prod
  commonName: testing.example.com
  dnsNames:
    - '*.testing.example.com'
  acme:
    config:
    - dns01:
        provider: route53
      domains:
        - '*.testing.example.com'

2 个解决方案

解决方案1
 0  2020-03-13 18:37:46

您所拥有的是正确的,您只需要等待DNS传播,以便LetsEncrypt检查验证记录。

解决方案2
 0  2021-07-21 20:38:57

您必须使用 DNS-01 的方法进行身份验证。

您可以使用issuer

https://cert-manager.io/docs/configuration/acme/dns01/

但是,您还必须为证书创建另一个 YAML

apiVersion: cert-manager.io/v1alpha2
kind: Certificate
metadata:
  name: le-crt
spec:
  secretName: tls-secret
  issuerRef: 
    kind: Issuer
    name: letsencrypt-prod
  commonName: "*.example.in"
  dnsNames:
    - "*.example.in"

上面的 yaml 证书将指向您创建的颁发者,当您获得证书时,它将作为tls-secret存储到 kubernetes 秘密名称中

您可以在ingress上注入或使用此密钥。

另外,如果您遇到CAA记录的403错误,请先在DNS zone添加 CAA 记录,我们添加ACNAME记录。

更多参考: https : //stackoverflow.com/a/68476135/5525824

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 通配符让我们使用 cert-manager、nginx 入口、kubernetes 中的 cloudflare 加密证书如何解决? SSL 证书来自 Let's Encrypt 在您的 Kubernetes Ingress via cert-manager k8s 无法使用 cert-manager 为 GoDaddy 域生成 Let's Encrypt 证书 证书管理器在升级到 AKS 1.20.7 后停止更新 Let'S Encrypt 证书 Kubernetes让加密证书管理器找不到错误密码 cert-manager:让我们加密拒绝 ACME 帐户 是否可以在多个 K8S 集群中使用通过 cert-manager (Lets Encrypt) 生成的通配符证书 如何在裸机集群上使用cert-manager自动在Kubernetes中加密证书更新? 在 Kubernetes 和 nginx 入口上使用客户端证书身份验证时,如何修复 cert-manager 对 Let's Encrypt ACME 挑战的响应? 使用Cert-Manager,NGINX Ingress和Let's Encrypt为Kubernetes服务配置TLS / SSL
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM