Cert Manager

原創 陈振阳 2019-09-15 13:37
  1. issuer privateKeySecretRef 自動生成的private key,填寫一個名字即可
  2. 使用kubectl describe 查看對應的資源,可以看到創建成功與否,以及失敗的信息issuer cert order 等一層層的往下看,都有詳細的出錯信息;
  3. ACME Issuer type represents a single Account registered with the ACME server.

1 register -> 生成的fulldomain
2. 添加dns記錄 _acme-challenge.targetdomain.com cname fulldomain
3. regiseter的結果創建acmedns.json文件,格式如下

{
	"taomiao.store": {
		"username": "ec953ce2-a147-4980-816a-9fd820b086da",
		"password": "HqJxoWxm7bVsA12prMOJFlakouNGNs39v0AZIlP3",
		"fulldomain": "e214d520-19c9-4d32-858d-99818ea41654.auth.acme-dns.io",
		"subdomain": "e214d520-19c9-4d32-858d-99818ea41654",
		"allowfrom": []
	}
}

kubectl create secret generic acme-dns --from-file acmedns.json
不同的域名都可以配置這一個regiseter賬號,配置對應的dns記錄,同時維護好acmedns.json文件即可;

  1. 根據上面的信息創建issue
apiVersion: certmanager.k8s.io/v1alpha1
kind: Issuer
metadata:
  name: letsencrypt-staging
  namespace: cert-manager
spec:
  acme:
    server: https://acme-staging-v02.api.letsencrypt.org/directory
    privateKeySecretRef:
         name: letsencrypt-staging
    solvers:
    - dns01:
        acmedns:
          host: https://auth.acme-dns.io
          accountSecretRef:
            name: acme-dns
            key: acmedns.json

創建完成之後,使用kubectl describe 可以查看創建成功與否,如果失敗,會茶看到詳細的失敗信息。正式環境可以使用如下的配置

apiVersion: certmanager.k8s.io/v1alpha1
kind: Issuer
metadata:
  name: letsencrypt-prod
  namespace: cert-manager
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    privateKeySecretRef:
         name: letsencrypt-prod
    solvers:
    - dns01:
        acmedns:
          host: https://auth.acme-dns.io
          accountSecretRef:
            name: acme-dns
            key: acmedns.json
  1. 更具上面的信息創建 Certificate
apiVersion: certmanager.k8s.io/v1alpha1
kind: Certificate
metadata:
  name: taomiao-store
  namespace: cert-manager
spec:
  secretName: taomiao-store-tls
  renewBefore: 360h # 15d
  commonName: taomiao.store
  dnsNames:
  - taomiao.store
  issuerRef:
    name: letsencrypt-staging
    kind: Issuer

創建好這個文件之後,cert manager立馬開始生成證書的流程
可以通過kubectl describe 命令查看issuer cert order challenge

  1. 創建萬 Cert之後,如果沒有出錯,就會生成一個名爲 taomiao-store-tls(Certificate.spec.secretName) 的secret;
    可以看到生成的證書的key 和 證書本身;
    生成fullchain.crt證書,有自己域名的證書和let’s的ca證書,可以直接用;微信裏面也沒有問題。

cert manager 實現自動花的原理

  1. dns01
    使用第三方的acme-dns + acme.sh這種方式
    可以看到,只需要在目標域名配置一個cname即可實現安全的自動化;

參考

Setting up Issuers » Setting up ACME Issuers » Configuring DNS01 Challenge Providers » ACME-DNS

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

java 實現https

轉載:  http://www.blogjava.net/etlan/archive/2006/06/29/55767.html 導入https證書 摘 要 JSSE是一個SSL和TLS的純Java實現,通過JSSE可以很容易

华华鱼 2020-07-08 11:42:12

SpringBoot項目以HTTPS方式啓動Jar包

一、將jks簽名文件放在src/main/resources下面 二、在properties文件中加入以下配置 server.ssl.key-store-type=JKS server.ssl.protocol=TLS server.ss

z100871519 2020-07-08 12:07:32

jboss as7.1 https訪問

1. 生成密鑰進入%JAVA_HOME%/bin目錄  執行命令  keytool -genkey -alias tomcat -keyalg RSA -keystore F:\tomcat.keystore -validity 3650

zhanglu5116 2020-07-08 11:39:19

https jesery

public class AuditlogSender {private static AuditlogSender sender = null;private AuditlogSender(){}public static Audit

zhanglu5116 2020-07-08 11:39:18

使用goahead搭建https服務器的實例

                                                    webcomm與前端的通訊-goahead服務器流程圖  #ifndef __CET_WEBCOMM_H__ #define __

xiyuan255 2020-07-08 11:11:58

使用libwebsocket搭建websocket服務器實例

                                                         webcomm與前端的通訊-websocket服務器操作流程   #include <libwebsockets.h> #

xiyuan255 2020-07-08 10:33:42

aJax請求不走後臺405排查

     本地起tomcat服務默認是http的,但是ajax請求的url是https,也就是跨域了。      然後不走後臺,瀏覽器F12顯示405      所以要配置一下tomcat,參考tomcat8.5配置http

做猪呢,最重要的是开森啦 2020-07-08 08:57:55

阿里雲服務器nginx配置ssl步驟htts

阿里雲服務器中要配置ssl 1.先在服務器安裝nginx,安裝步驟自行搜索,很多。 2.獲取ssl證書,可以參考https://mp.csdn.net/console/editor/html/87912845這篇文章,裏面有阿里雲的免費證

易菲 2020-07-07 22:17:33

https 和 SSL

1. HTTPS HTTPS(全稱:Hypertext Transfer Protocol over Secure Socket Layer),是以安全爲目標的HTTP通道,簡單講是HTTP的安全版。即HTTP下加入SSL層,HTTP

稀里糊涂_helen 2020-07-07 12:48:32

http升級https(新手推薦),Liunx配置Apache

1.Apache安裝  Apache安裝有2種方法:分別是   · 源碼編譯安裝   · yum安裝 這裏採用yum安裝 輸入命令:  yum install httpd  直接下一步即可 2. 申請SSL證書(這裏以阿里云爲例) 進入阿

Ares称雄 2020-07-07 12:08:14

RestTemplate 忽略證書

配置 package com.*****.*.*.config; import org.apache.http.conn.ssl.NoopHostnameVerifier; import org.apache.http.conn

创客公元 2020-07-07 04:55:45

關於Http你至少需要知道這些內容

本文包含內容 Http特點 一次完整的網絡訪問流程 URI和URL的區別 Http報文結構,首部字段說明 Http的請求方法 Http狀態碼 Cookie和Session分別幹嘛的 Http和Https的關係 Https建立SS

CoderThc 2020-07-07 04:38:28

Netty——預置的ChannelHandler和編解碼器(一)

預置的ChannelHandler和編解碼器 Netty 爲許多通用協議提供了編解碼器和處理器,幾乎可以開箱即用,這減少了你在那些相 當繁瑣的事務上本來會花費的時間與精力。在本章中,我們將探討這些工具以及它們所帶來的好 處,其中包

吴声子夜歌 2020-07-07 01:09:47

vue-http與https互相轉換

在index.html裏面添加這句話 <meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests"> <meta content=always

李倩倩倩啊呦 2020-07-07 00:32:23

Jmeter錄製https協議的請求

1 下面這篇文章將原理和操作都講得比較清楚了 https://cloud.tencent.com/developer/news/234697 其中Chrome導入證書得位置可能版本不同有微小區別 我電腦得版本 導入如下 1 chr

qq_40264470 2020-07-06 22:03:10