Azure 應用服務證書 ssl 到 AKS 入口

Question

我已經從 Azure App Service Certificate 購買了 WildCard ssl 證書。 我還有一個 AKS 集群。 我想把它放在秘密中並在入口中使用。 購買后，它在 Azure Key Vault 中存儲了秘密文件。 我下載它然后導入以創建 Azure Key Vault 證書。 然后使用 akv2k8s 我在我的 AKS 中創建了一個秘密文件並在入口中使用它。 在我的應用程序拋出“err_cert_authority_invalid”錯誤之后。 我做錯什么了嗎？？ ssl 和 ingress 上沒有那么多文檔。 在許多文章中，他們使用“Lets Encrypt”或“Cert Manager”。

https://akv2k8s.io/

Answer 1

• 可能是由於誤認為證書是由暫存環境頒發的，反之亦然。 因此，為此，我建議您檢查帶有入口注釋'certmanager.k8s.io/cluster-issuer': 'letsencrypt-staging'的'stable/wordpress' helm chart。 這將導致從假發行人那里獲得證書。 因此，即使您的證書作為秘密進入您的 AKS，它也會顯示為由虛假頒發者頒發，因為證書鏈 hash 驗證在兩者之間被打破。 為此，請在下方找到 curl：-

   ‘ # curl -vkI https://blog.my-domain.com/
     ...
     * Server certificate:
     *  subject: CN=blog.my-domain.com
     *  start date: May 13 08:51:13 2019 GMT
     *  expire date: Aug 11 08:51:13 2019 GMT
     *  issuer: CN=Fake LE Intermediate X1
     ... ‘

然后，列出入口如下：-

  ‘ # kubectl get ing
    NAME             HOSTS                              ADDRESS          PORTS     AGE
    blog-wordpress   blog.my-domain.com   35.200.214.186   80, 443   8m48s ’

還有證書：-

  ‘ # kubectl get certificates
    NAME                  READY   SECRET                AGE
    wordpress.local-tls   True    wordpress.local-tls   9m ’

然后，將證書的頒發者切換為最初頒發證書的頒發者，如下所示：-

   ‘ # kubectl edit ing blog-wordpress ’

並更新注釋如下：-

  ‘ certmanager.k8s.io/cluster-issuer: letsencrypt-prod ’

更新入口清單后，證書清單將自動更新。 要驗證它，請打開“wordpress.local-tls”證書資源的清單，如下所示：-

 ‘ kubectl edit certificate wordpress.local-tls ’

發行人將被視為更新如下：-

‘ kubectl edit certificate wordpress.local-tls ’

因此，通過這種方式，您將能夠在 AKS 中導入證書機密。 有關更多詳細信息，我建議您參考以下鏈接了解更多詳細信息：-

https://github.com/vmware-archive/kube-prod-runtime/issues/532

Azure 應用服務證書 ssl 到 AKS 入口

問題描述

1 個解決方案

解決方案1
2 2022-03-08 09:27:19

Azure 應用服務證書 ssl 到 AKS 入口

問題描述

1 個解決方案

解決方案1 2 2022-03-08 09:27:19

解決方案1
2 2022-03-08 09:27:19