在Kubernetes中如何使用cert-mananager申请TLS证书

这篇文章主要介绍“在Kubernetes中如何使用cert-mananager申请TLS 证书”,在日常操作中,相信很多人在在Kubernetes中如何使用cert-mananager申请TLS 证书问题上存在疑惑,小编查阅了各式资料,整理出简单好用的操作方法,希望对大家解答”在Kubernetes中如何使用cert-mananager申请TLS 证书”的疑惑有所帮助!接下来,请跟着小编一起来学习吧!

成都创新互联公司主要从事成都网站设计、网站建设、网页设计、企业做网站、公司建网站等业务。立足成都服务金山,10余年网站建设经验,价格优惠、服务专业,欢迎来电咨询建站服务:18982081108

问题描述

在部署 cert-manager 成功后,便可以使用它申请 Let's Encrypt 证书。

解决方案

前置条件

已完成 cert-manager 的部署:参考 2.Installation 笔记;

TL;DR

我们使用提供 ACME 实现的 Let's Encrypt 服务来申请证书,并使用 DNS01 完成质询,所以应该创建类似如下 ClusterIssuer 资源文件:

apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: example-issuer
spec:
  acme:
    email: user@example.com
    server: https://acme-staging-v02.api.letsencrypt.org/directory
    privateKeySecretRef:
      name: example-issuer-account-key
    solvers:
    - dns01:
        cloudDNS:
          project: my-project
          serviceAccountSecretRef:
            name: prod-clouddns-svc-acct-secret
            key: service-account.json

但是,我们使用阿里云 DNS 服务,而不是 cloudDNS 服务,所以上述配置是不行的(无法完成 DNS01 质询)。然而,官方支持 ACMEDNS、Akamai、AzureDNS、CloudFlare、Google、Route53、DigitalOcean、RFC2136 这些 DNS01 服务商,并不包含我们所使用的阿里云服务商。好在 cert-manager 支持 Webhook 以允许定义自己的 DNS provider(这些便是 out-of-tree DNS provider),而这里便有开源的 AliDNS-Webhook 供我们使用(使用过程,参考 alidns-webhook/README.md at master 页面)

第一步、部署 AliDNS-Webhook 实现

结合 AliDNS-Webhook 文档,我们所使用的资源文件及部署过程如下:

./01-bundle.yaml
./02-alidns-secret.yaml
./03-letsencrypt-clusterissuer.yaml
./04-examplexyz-certificate.yaml

注意:1)./03-letsencrypt-clusterissuer.yaml 的 groupName: 与 ./01-bundle.yaml 的 group: 要保持一致,即要同时修改。默认为 acme.yourcompany.com 参数。

kubectl apply -f ./01-bundle.yaml
kubectl apply -f ./02-alidns-secret.yaml
kubectl apply -f ./03-letsencrypt-clusterissuer.yaml
kubectl apply -f ./04-examplexyz-certificate.yaml

第二步、检查证书是否申请成功

# kubectl describe -n default certificates.cert-manager.io example-xyz
...
Status:
  Conditions:
    Last Transition Time:  2021-05-07T01:30:33Z
    Message:               Certificate is up to date and has not expired
    Observed Generation:   1
    Reason:                Ready
    Status:                True
    Type:                  Ready
  Not After:               2021-08-05T00:30:32Z
  Not Before:              2021-05-07T00:30:32Z
  Renewal Time:            2021-07-06T00:30:32Z
  Revision:                1
Events:                    

# kubectl get certificates.cert-manager.io
NAME                READY   SECRET              AGE
example-xyz         True    example-xyz         2m

// 此时,证书申请成功

切换到 Let's Encrypt 生产环境

证书申请成功之后,还有最后一件事情:我们这里仅是在 Let's Encrypt 的 Staging 环境中完成申请证书的测试,还需要切换到 Let's Encrypt 生产环境。

修改 ./03-letsencrypt-clusterissuer.yaml 的 server: 为 https://acme-v02.api.letsencrypt.org/directory 以使用生产环境来申请真正的证书。

补充说明

更多 DNS 服务商,参考 cert-manager-webhook · GitHub Topics 页面。

常见错误汇总

... is forbidden ... cannot create resource "alidns" in API group ... at the cluster scope

问题描述:

alidns.acme.example.com is forbidden: User "system:serviceaccount:cert-manager:cert-manager" 
cannot create resource "alidns" in API group "acme.example.com" at the cluster scope

原因分析:./03-letsencrypt-clusterissuer.yaml 的 groupName: 未与 ./01-bundle.yaml 的 group: 要保持一致

解决方案:保持 groupName: 与 group: 一致。

到此,关于“在Kubernetes中如何使用cert-mananager申请TLS 证书”的学习就结束了,希望能够解决大家的疑惑。理论与实践的搭配能更好的帮助大家学习,快去试试吧!若想继续学习更多相关知识,请继续关注创新互联网站,小编会继续努力为大家带来更多实用的文章!


分享名称:在Kubernetes中如何使用cert-mananager申请TLS证书
网站路径:http://myzitong.com/article/gjhesc.html