![](/img/trans.png)
[英]Wildcard Let's Encrypt certificates with cert-manager, nginx ingress, cloudflare in kubernetes how to fix?
[英]How to use Wildcard certificates from Let’s Encrypt with cert-manager
我創建了兩個文件,一個用於 ClusterIssuer,第二個用於 Certificate。 我的域是一個 example.com,我需要使用通配符*.testing.example.com
創建一個新的子域,並且我已經在 Route53 中創建了一個名為*.testing.example.com
的條目, *.testing.example.com
包含 A 記錄並使用 nlb 進行映射。
以下是我的個人資料,哪些對我有好處,但我收到錯誤“msg”=“傳播檢查失敗”“錯誤”=“testing.example.com”的 DNS 記錄尚未傳播”
ClusterIssuer.yaml
apiVersion: cert-manager.io/v1alpha2
kind: ClusterIssuer
metadata:
name: letsencrypt-prod
spec:
acme:
# The ACME server URL
server: https://acme-v02.api.letsencrypt.org/directory
# Email address used for ACME registration
email: devops@example.com
privateKeySecretRef:
name: letsencrypt-prod
solvers:
# example: cross-account zone management for example.com
# this solver uses ambient credentials (i.e. inferred from the environment or EC2 Metadata Service)
# to assume a role in a different account
- selector:
dnsZones:
- "example.com"
dns01:
route53:
region: ap-south-1
hostedZoneID: 71MYVttggee
role: arn:aws:iam::123456:role/dns-manager
Certificate.yaml
apiVersion: cert-manager.io/v1alpha2
kind: Certificate
metadata:
name: example-cert
spec:
secretName: acme-crt
issuerRef:
kind: ClusterIssuer
name: letsencrypt-prod
commonName: testing.example.com
dnsNames:
- '*.testing.example.com'
acme:
config:
- dns01:
provider: route53
domains:
- '*.testing.example.com'
您所擁有的是正確的,您只需要等待DNS傳播,以便LetsEncrypt檢查驗證記錄。
您必須使用 DNS-01 的方法進行身份驗證。
您可以使用issuer
https://cert-manager.io/docs/configuration/acme/dns01/
但是,您還必須為證書創建另一個 YAML
apiVersion: cert-manager.io/v1alpha2
kind: Certificate
metadata:
name: le-crt
spec:
secretName: tls-secret
issuerRef:
kind: Issuer
name: letsencrypt-prod
commonName: "*.example.in"
dnsNames:
- "*.example.in"
上面的 yaml 證書將指向您創建的頒發者,當您獲得證書時,它將作為tls-secret
存儲到 kubernetes 秘密名稱中
您可以在ingress
上注入或使用此密鑰。
另外,如果您遇到CAA
記錄的403錯誤,請先在DNS zone
添加 CAA 記錄,我們添加A
或CNAME
記錄。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.