堆棧內存溢出
  簡體   English   中英

Treafik 使用 DEFAULT CERT 而不是使用 Let's Encrypt 通配符證書

[英]Treafik uses DEFAULT CERT instead of using Let's Encrypt wildcard certificate

 原文  2020-09-29 07:21:34       ssl/ kubernetes/ lets-encrypt/ traefik/ traefik-ingress

問題描述

我嘗試設置 Traefik 以使用 DNS 質詢從 Let's Encrypt 獲取證書,並使用此證書保護 whoami 應用程序。 我設法獲得了證書(很好地存在於 acme.json 文件中),但我的 IngressRoute 沒有將這些證書用於路由。

我的集群是 K3D 集群。 我從官方 Helm Chart 部署 Traefik v2: helm install tr​​aefik traefik/traefik -f traefik-values.yaml

我為圖表定義了這些值:

additionalArguments:
  - --log.level=TRACE
  - --certificatesresolvers.le.acme.email=<MY_EMAIL>
  - --certificatesresolvers.le.acme.caServer=https://acme-staging-v02.api.letsencrypt.org/directory
  - --certificatesresolvers.le.acme.dnschallenge=true
  - --certificatesresolvers.le.acme.dnschallenge.provider=route53
  - --certificatesresolvers.le.acme.dnschallenge.delayBeforeCheck=60
  - --certificatesresolvers.le.acme.dnschallenge.resolvers=8.8.8.8:53
  - --certificatesresolvers.le.acme.storage=/data/acme.json
  - --entrypoints.web.http.redirections.entryPoint.to=:443
  - --entrypoints.web.http.redirections.entryPoint.scheme=https
persistence:
  enabled: true
  path: /data
env:
  - name: AWS_REGION
    value: eu-west-1
  - name: AWS_HOSTED_ZONE_ID
    value: <MY_AWS_HOSTED_ZONE_ID>
  - name: AWS_ACCESS_KEY_ID
    value: <MY_AWS_ACCESS_KEY_ID>
  - name: AWS_SECRET_ACCESS_KEY
    value: <MY_AWS_SECRET_ACCESS_KEY>

whoami 應用程序的部署、服務和 IngressRoute:

kind: Deployment
apiVersion: apps/v1
metadata:
  name: whoami
spec:
  replicas: 1
  selector:
    matchLabels:
      app: whoami
  template:
    metadata:
      labels:
        app: whoami
    spec:
      containers:
        - name: whoami
          image: containous/whoami:v1.5.0
---
apiVersion: v1
kind: Service
metadata:
  name: whoami
  labels:
    app: whoami
spec:
  type: ClusterIP
  ports:
    - port: 80
      name: whoami
  selector:
    app: whoami
---
apiVersion: traefik.containo.us/v1alpha1
kind: IngressRoute
metadata:
  name: app-tls
spec:
  entryPoints:
    - websecure
  routes:
    - kind: Rule
      match: Host(`test.mydomain.com`) || Path(`/whoami`)
      services:
        - name: whoami
          port: 80
  tls:
    certResolver: le
    domains:
      - main: "*.test.mydomain.com"

在日志中,我可以看到:

time="2020-09-24T14:04:04Z" level=debug msg="legolog: [INFO] acme: Registering account for MY_EMAIL"
time="2020-09-24T14:04:04Z" level=debug msg="legolog: [INFO] [*.test.mydomain.com] acme: Obtaining bundled SAN certificate"
time="2020-09-24T14:04:04Z" level=debug msg="legolog: [INFO] [*.test.mydomain.com] AuthURL: https://acme-staging-v02.api.letsencrypt.org/acme/authz-v3/118300931"
time="2020-09-24T14:04:04Z" level=debug msg="legolog: [INFO] [*.test.mydomain.com] acme: use dns-01 solver"
time="2020-09-24T14:04:04Z" level=debug msg="legolog: [INFO] [*.test.mydomain.com] acme: Preparing to solve DNS-01"
time="2020-09-24T14:04:05Z" level=debug msg="legolog: [INFO] Wait for route53 [timeout: 2m0s, interval: 4s]"
time="2020-09-24T14:05:16Z" level=debug msg="legolog: [INFO] [*.test.mydomain.com] acme: Trying to solve DNS-01"
time="2020-09-24T14:05:16Z" level=debug msg="legolog: [INFO] [*.test.mydomain.com] acme: Checking DNS record propagation using [8.8.8.8:53]"
time="2020-09-24T14:05:20Z" level=debug msg="legolog: [INFO] Wait for propagation [timeout: 2m0s, interval: 4s]"
time="2020-09-24T14:06:24Z" level=debug msg="legolog: [INFO] [*.test.mydomain.com] The server validated our request"
time="2020-09-24T14:06:24Z" level=debug msg="legolog: [INFO] [*.test.mydomain.com] acme: Cleaning DNS-01 challenge"
time="2020-09-24T14:06:25Z" level=debug msg="legolog: [INFO] Wait for route53 [timeout: 2m0s, interval: 4s]"
time="2020-09-24T14:07:21Z" level=debug msg="legolog: [INFO] [*.test.mydomain.com] acme: Validations succeeded; requesting certificates"
time="2020-09-24T14:07:23Z" level=debug msg="legolog: [INFO] [*.test.mydomain.com] Server responded with a certificate."

進而 :

time="2020-09-24T14:07:24Z" level=debug msg="Looking for provided certificate(s) to validate [\"*.test.mydomain.com\"]..." providerName=le.acme
time="2020-09-24T14:07:24Z" level=debug msg="No ACME certificate generation required for domains [\"*.test.mydomain.com\"]." providerName=le.acme

當我從瀏覽器訪問 localhost/whoami 時,我可以看到 whoami 應用程序,但使用的證書是 Traefik 的默認證書。 問題與非通配符證書相同。

為什么我的路線沒有使用 LE 證書?

預先感謝您的幫助。

1 個解決方案

解決方案1
 0  2020-10-01 20:21:48

我剛剛將我的網站從new.example.com移動到example.com ,該網站鏈接到托管在不同服務器上的舊版本網站。

traefik 使用了默認證書,而不是自動的 Let's encrypt 證書。 dns記錄改完一小時后,才開始使用自動證書。 我還沒有更新配置。 我認為這可能與有關,並且問題已發布在 traefik 的 github 上。

如果它實際上與“雞與蛋的問題有關,因為在密鑰工作之前不應將域移動到新服務器,並且在域工作之前不能請求密鑰”,我會建議在 dns 更新后 24 小時內使用用戶定義的證書 那么回退到自動證書應該是安全的。

一些細節

我使用了文檔中的acme 配置

certificatesResolvers:
  myresolver:
    acme:
      email: your-email@example.com
      storage: acme.json
      httpChallenge:
        # used during the challenge
        entryPoint: web

奇怪的是/etc/traefik/acme/acme.json包含私鑰,盡管我不知道它應該如何工作。

{
  "letsencrypt": {
    "Account": {
      "Email": "example@mail.com",
      "Registration": {
        "body": {
          "status": "valid",
          "contact": [
            "mailto:example@mail.com"
          ]
        },
        "uri": "https://acme-v02.api.letsencrypt.org/acme/acct/*******"
      },
      "PrivateKey": "*******************************************",
      "KeyType": "4096"
    },
    "Certificates": null
  }
}

此外,我使用了 docker 並重新啟動了容器幾次,但不乏。 最后一次重啟后,它才開始工作。

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 讓我們使用Cert-manager在GKE上加密:無效的證書 在 Kubernetes 和 nginx 入口上使用客戶端證書身份驗證時,如何修復 cert-manager 對 Let's Encrypt ACME 挑戰的響應? 對 Nginx 通配符處理的子域使用 Let&#39;s Encrypt 使用加密證書設置Gunicorn 我們的加密API沒有返回根證書? 讓我們使用NO SNI加密證書 讓我們用 Docker 加密證書 讓我們加密證書頒發 Gitlab 頁面和使用 Let's Encrypt 的自動證書管理 Azure DevOps“准備對 SonarQube 進行分析”任務對我們的 Azure 托管的 SonarQube 服務器失敗,帶有 Let's Encrypt 通配符
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM