![](/img/trans.png)
[英]Wildcard Let's Encrypt certificates with cert-manager, nginx ingress, cloudflare in kubernetes how to fix?
[英]How to use Wildcard certificates from Let’s Encrypt with cert-manager
我创建了两个文件,一个用于 ClusterIssuer,第二个用于 Certificate。 我的域是一个 example.com,我需要使用通配符*.testing.example.com
创建一个新的子域,并且我已经在 Route53 中创建了一个名为*.testing.example.com
的条目, *.testing.example.com
包含 A 记录并使用 nlb 进行映射。
以下是我的个人资料,哪些对我有好处,但我收到错误“msg”=“传播检查失败”“错误”=“testing.example.com”的 DNS 记录尚未传播”
ClusterIssuer.yaml
apiVersion: cert-manager.io/v1alpha2
kind: ClusterIssuer
metadata:
name: letsencrypt-prod
spec:
acme:
# The ACME server URL
server: https://acme-v02.api.letsencrypt.org/directory
# Email address used for ACME registration
email: devops@example.com
privateKeySecretRef:
name: letsencrypt-prod
solvers:
# example: cross-account zone management for example.com
# this solver uses ambient credentials (i.e. inferred from the environment or EC2 Metadata Service)
# to assume a role in a different account
- selector:
dnsZones:
- "example.com"
dns01:
route53:
region: ap-south-1
hostedZoneID: 71MYVttggee
role: arn:aws:iam::123456:role/dns-manager
Certificate.yaml
apiVersion: cert-manager.io/v1alpha2
kind: Certificate
metadata:
name: example-cert
spec:
secretName: acme-crt
issuerRef:
kind: ClusterIssuer
name: letsencrypt-prod
commonName: testing.example.com
dnsNames:
- '*.testing.example.com'
acme:
config:
- dns01:
provider: route53
domains:
- '*.testing.example.com'
您所拥有的是正确的,您只需要等待DNS传播,以便LetsEncrypt检查验证记录。
您必须使用 DNS-01 的方法进行身份验证。
您可以使用issuer
https://cert-manager.io/docs/configuration/acme/dns01/
但是,您还必须为证书创建另一个 YAML
apiVersion: cert-manager.io/v1alpha2
kind: Certificate
metadata:
name: le-crt
spec:
secretName: tls-secret
issuerRef:
kind: Issuer
name: letsencrypt-prod
commonName: "*.example.in"
dnsNames:
- "*.example.in"
上面的 yaml 证书将指向您创建的颁发者,当您获得证书时,它将作为tls-secret
存储到 kubernetes 秘密名称中
您可以在ingress
上注入或使用此密钥。
另外,如果您遇到CAA
记录的403错误,请先在DNS zone
添加 CAA 记录,我们添加A
或CNAME
记录。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.