我們如何在 GCP 實例中生成自我管理證書？

Question

我正在 GCP 實例中使用 Open SSL 進行測試。 以及如何在 GCP 實例中生成自我管理證書。

Answer 1

您可以激活證書和域狀態，負載均衡器最多可能需要 30 分鍾才能開始使用您的自我管理 SSL 證書

要對此進行測試，您可以運行以下 OpenSSL 命令，替換

DOMAIN ------------------------ 帶有------------DNS 名稱
IP_ADDRESS------------------------------您的負載均衡器的 IP 地址.

echo | openssl s_client -showcerts -servername DOMAIN -connect IP_ADDRESS:443 -verify 99 -verify_return_error

此命令輸出負載均衡器提供給客戶端的證書。 連同其他詳細信息，output 應包括證書鏈。 驗證返回碼：0（正常）。

有關更多信息，您可以參考此鏈接。

Answer 2

我們可以通過多種方式頒發證書，讓我們關注使用名為 ManagedCertificate 的自定義資源和入口規則在 Google (GKE) 上運行的 K8S 集群。

• 您必須擁有域名且名稱不得超過 63 個字符。

• 使用以下命令或使用谷歌控制台創建保留（靜態）外部 IP 地址。

  gcloud 計算地址創建 gke-static-ip --global

創建托管證書

---
apiVersion: networking.gke.io/v1beta1
kind: ManagedCertificate
metadata:
  name: gke-certificate
spec:
  domains:
    - DOMAIN

---
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: gke-ingress
  annotations:
    kubernetes.io/ingress.global-static-ip-name: gke-static-ip
    networking.gke.io/managed-certificates: gke-certificate
spec:
  backend:
    serviceName: hello-world-service
    servicePort: 80

在我的例子中，我使用雲端點作為域名