我们如何在 GCP 实例中生成自我管理证书？

Question

我正在 GCP 实例中使用 Open SSL 进行测试。 以及如何在 GCP 实例中生成自我管理证书。

Answer 1

您可以激活证书和域状态，负载均衡器最多可能需要 30 分钟才能开始使用您的自我管理 SSL 证书

要对此进行测试，您可以运行以下 OpenSSL 命令，替换

DOMAIN ------------------------ 带有------------DNS 名称
IP_ADDRESS------------------------------您的负载均衡器的 IP 地址.

echo | openssl s_client -showcerts -servername DOMAIN -connect IP_ADDRESS:443 -verify 99 -verify_return_error

此命令输出负载均衡器提供给客户端的证书。 连同其他详细信息，output 应包括证书链。 验证返回码：0（正常）。

有关更多信息，您可以参考此链接。

Answer 2

我们可以通过多种方式颁发证书，让我们关注使用名为 ManagedCertificate 的自定义资源和入口规则在 Google (GKE) 上运行的 K8S 集群。

• 您必须拥有域名且名称不得超过 63 个字符。

• 使用以下命令或使用谷歌控制台创建保留（静态）外部 IP 地址。

  gcloud 计算地址创建 gke-static-ip --global

创建托管证书

---
apiVersion: networking.gke.io/v1beta1
kind: ManagedCertificate
metadata:
  name: gke-certificate
spec:
  domains:
    - DOMAIN

---
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: gke-ingress
  annotations:
    kubernetes.io/ingress.global-static-ip-name: gke-static-ip
    networking.gke.io/managed-certificates: gke-certificate
spec:
  backend:
    serviceName: hello-world-service
    servicePort: 80

在我的例子中，我使用云端点作为域名