Let's Encrypt 泛域名证书申请及openshift下ssl配置

最新推荐文章于 2023-10-23 23:35:21 发布
最新推荐文章于 2023-10-23 23:35:21 发布
阅读量770 收藏 1
点赞数
分类专栏: k8s&openshift
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kk3909/article/details/104884665
版权

软硬件环境

  • 操作系统centos 7.4
  • 拥有独立域名管理权和cloudfare账号,在Cloudflare的DNS中为您的域设置的DNS记录

安装certbot

  1. 默认情况下,CentOS的软件包管理器不提供certbot软件包。 您需要启用EPEL存储库以安装Certbot及其插件。
    要添加CentOS 7 EPEL存储库,请运行以下命令:
    sudo yum install -y epel-release
  1. 安装完成后,您可以安装certbot :
    sudo yum install -y certbot
  1. 为Certbot安装CloudFlare插件:
    sudo yum install -y python2-cloudflare python2-certbot-dns-cloudflare

获取CloudFlare API

为了使Certbot能够自动续订通配符证书,您需要为其提供CloudFlare登录和API密钥。
登录您的Cloudflare帐户并导航到“ 个人资料”页面 。
单击Global API Key行中的View按钮。

配置Certbot

  1. 运行不带任何参数的certbot命令来创建初始配置文件:
    sudo certbot
  1. 在/etc/letsencrypt目录中创建一个配置文件,其中包含您的CloudFlare电子邮件和API密钥:
    sudo vi /etc/letsencrypt/cloudflareapi.cfg
  1. 将以下内容添加到/etc/letsencrypt/cloudflareapi.cfg,使用Cloudflare登录和API密钥替换占位符:
    dns_cloudflare_email = your_cloudflare_login
    dns_cloudflare_api_key = your_cloudflare_api_key
  1. 文件授权
    sudo chmod 600 /etc/letsencrypt/cloudflareapi.cfg

证书生成

可以指定多个域名,泛域名通过*代替,由于openshift路由的子域名我们配置成了apps,这里把子域名也加上,证书输出目录为 /etc/letsencrypt/live/your_domain

    sudo certbot certonly --cert-name youdomain \
    --dns-cloudflare --dns-cloudflare-credentials /etc/letsencrypt/cloudflareapi.cfg \
    --server https://acme-v02.api.letsencrypt.org/directory \
    -d youdomain.com \
    -d *.youdomain.com \
    -d *.apps.youdomain.com

重新配置openshift router证书

  1. 备份原证书
   oc get secret router-certs -n default -o yaml > old-router-certs-secret.yaml
  1. 根据cert.pem、chain.pem、privkey.pem生成router证书文件
    cat /etc/letsencrypt/live/youdomain/cert.pem \
    /etc/letsencrypt/live/youdomain/chain.pem \
    /etc/letsencrypt/live/youdomain/privkey.pem \
    > /etc/letsencrypt/live/youdomain/router.pem
  1. 替换原有证书
    oc create secret tls router-certs --cert=/etc/letsencrypt/live/youdomain/router.pem \
   --key=/etc/letsencrypt/live/youdomain/privkey.pem -o json --dry-run | \
   oc replace -f -
  1. 移除router service annotate
   oc annotate service router \
   service.alpha.openshift.io/serving-cert-secret-name- \
   service.alpha.openshift.io/serving-cert-signed-by-
  1. 重新添加router service annotate
   oc annotate service router \
   service.alpha.openshift.io/serving-cert-secret-name=router-certs
  1. 重新部署路由器
   oc rollout latest dc/router

重新配置openshift web-console证书

如果是高可用则每台master都需要执行以下操作

  1. 拷贝证书到master目录
cp /etc/letsencrypt/live/yourdomain/fullchain.pem  /etc/origin/master/named_certificates/yourdomain-fullchain.crt
cp /etc/letsencrypt/live/yourdomain/privkey.pem /etc/origin/master/named_certificates/yourdomain-privkey.key
  1. 修改/etc/origin/master/master-config.yaml文件(namedCertificates部分)
servingInfo:
 bindAddress: 0.0.0.0:443
 bindNetwork: tcp4
 certFile: master.server.crt
 clientCA: ca.crt
 keyFile: master.server.key
 maxRequestsInFlight: 500
 requestTimeoutSeconds: 3600
 namedCertificates:
 - certFile: /etc/origin/master/named_certificates/yourdomain-fullchain.crt
   keyFile: /etc/origin/master/named_certificates/yourdomain-privkey.key
   names:
     - "yourdomain"
  1. 重启master api
master-restart api api
  1. 检查master api日志 查看是否正常启动
master-logs api api

遗留问题

  • Let’s Encrypt 生成的证书只有90天失效,编写自动生成证书并替换证书的脚本
  • registry使用了内部域名 无法使用Let’s Encrypt的证书

参考

证书生成:https://www.howtoing.com/how-to-retrieve-let-s-encrypt-ssl-wildcard-certificates-using-cloudflare-validation-on-centos-7
官方文档:https://docs.openshift.com/container-platform/3.10/install_config/redeploying_certificates.html

kk3909
关注
专栏目录
letsencrypt申请域名证书,二级域名续约
CharmHeart的博客
02-20 1599
Let’s encrypt 提供期限为三个月的免费SSL证书,到期之后需要renew,官方还提供自动renew的工具certbot。 这里记录下使用Let’s Encrypt生成域名的通用证书。 一、获取certbot 客户端 # 下载 Certbot 客户端 $ wget -c https://dl.eff.org/certbot-auto -P /usr/local/bin/ # 设为可执行权限 $ chmod a+x /usr/local/bin/certbot-auto $ certbot-aut
Let's Encrypt域名证书申请生成 10分钟视频教程
guozhaohui628
09-02 783
视频地址,需要改变你的上网姿势 https://www.youtube.com/watch?v=RxYAPItx-5E&t=103s 域名证书申请 Let's Encrypt域名证书生成准备 *.guozh.net 老薛主机 香港地区服务器 Namesilo购买的域名 (附)阿里云国内地区服务器申请图文教程 guozh.net/acme-sh-gen… 安装 a...
OpenShift解决绑定域名SSL证书错误问题
cdmamata的专栏
10-01 1956
转载地址:http://www.enkoo.net/openshift-ssl.html OpenShift的硬件环境很好,但对于国内用户来说,相当大一部分IP不能访问。绑定域名后,部分IP可以正常访问,其它的IP还是需要使用CDN来访问。绑定域名就涉及一个问题——SSL证书问题,免费用户不支持域名绑定证书,免费的CDN服务也不支持SSL证书。因此,需要关闭网站程序的SSL链接。
linux添加域名证书,在Linux服务器上手动安装免费的Let's Encrypt域名证书 - 乐道主机...
weixin_39719042的博客
05-11 204
准备工作mkdir / root / letsencrypt / var / www / letsencryptcd / root / letsencrypt我们将使用acme_tiny库。您可以使用任何其他库wget https://raw.githubusercontent.com/diafygi/acme-tiny/master/acme_tiny.py我们生成一个标识符密钥openssl ...
letsencrypt免费https(*.yourdomain.com)域名证书申请及七牛云SSL证书更新
zcyuefan的博客
10-12 9747
letsencrypt免费https域名(*.yourdomain.com)证书申请 1. 工具安装 2. 证书申请 sudo certbot certonly --preferred-challenges dns --manual -d *.cdn.renchewang.com --server https://acme-v02.api.letsencrypt.org/directory ...
acme + acme-dns + google domains 签发域名证书
zgrwbb的博客
09-09 3292
acme + acme-dns + google domains 签发域名证书
Let’s Encrypt免费SSL证书获取以及自动续签
08-03
### Let’s Encrypt 免费 SSL 证书获取及自动续签详解 #### 一、前言 随着互联网安全意识的提高,HTTPS 协议已经成为网站标配。对于个人开发者和小型项目而言,免费且易于管理的 SSL 证书尤为重要。Let’s Encrypt ...
Let's Encrypt官网一键式免费申请ssl证书脚本
08-30
Let's Encrypt官网一键式免费申请ssl证书脚本, 使用方法是放到linux环境下, 给出执行权限rwx即可 chmod -R 700 certbot-auto , 之后./certbot-auto执行, 过程中会让你选择apache(1)还是nginx(2), 之后还会让你输入...
Let's Encrypt证书申请
03-27
Let's Encrypt 证书申请 SSL证书 SSL 详细说明如何申请Let's Encrypt证书
openshift认证
毛台
04-21 1019
acme.sh签发和部署ZeroSSL域名证书
最新发布
Roger_Spencer的博客
10-23 1326
acme.sh 是个开源的shell证书生成脚本,他可以自动生成Let’s Encrypt证书,也可以通过API生成其他的证书。more这里我们用的ZeroSSL签发的证书。有人问,为啥不用Let’s Encrypt证书呢?因为有人说Let’s Encrypt的服务器被墙,导致使用Let’s Encrypt证书的网页加载缓慢。在acme.sh的文档中提到,acme.sh默认server使用Let’s Encrypt,将在2021/08/01发布v3版本。
Let‘sEncrypt快速颁发及自动续签域名证书实践指南
WeiyiGeek 唯一极客IT知识分享
04-10 5954
[TOC] 0x00 前言简述 描述: Let's Encrypt 是免费、开放和自动化的证书颁发机构由Linux基金会(Linux Foundation)进行日常管理维护,它为1.8亿个网站提供TLS证书的非盈利性证书颁发机构, 通过它我们可以免费申请网站证书,并您的网站上启用 HTTPS (SSL/TLS) 提供支持。 前置需求: 域名所有者 : Let’s Encrypt 是一个证书颁发机构(CA), 要从 Let’s Encrypt 获取您网站域名证书,您必须证明您对域名的实际控制
cloudflare免费证书_Cloudflare免费CDN加速和免费SSL证书服务
weixin_42298039的博客
01-14 2063
Cloudflare是一个非常优秀的CDN服务商,试用了新的Cloudflare,发现它的CDN功能真是越来越多了,这也怪不得国外不少的大型网站都在使用Cloudflare CDN加速,而Cloudflare免费SSL证书服务也是一个亮点,不管你的网站有没有SSL证书,它都可以一键实现网站https加密访问。因是国外的产品,在全球都有CDN加速节点,比较适合做外贸的网站使用。Cloudflare免...
免费申请Lets Encrypt通配符HTTPS证书
在IT技术的世界,天天向上↑
03-12 661
注 本教程是在centos 7下操作的,其他Linux系统大同小异。参考1 参考2 到期续期操作 1) 通过acme.sh方式获取证书的方法,墙裂推荐这种方法 2) 增加可通过docker镜像获取证书的方法 一、acme.sh的方式 1.获取acme.sh curl https://get.acme.sh | sh 如下所示安装成功 注:我在centos 7上遇到问题,...
OpenShift 4 之使用https协议访问Route
多恩斯基的博客
12-11 2047
使用OpenShift的oc命令可以将Service内部访问转为(oc的expose子命令)可从外部访问的Route,这种转换缺省是使用http协议访问应用的。如果要支持https协议,除了需要生成证书外,还需要用“oc create route”来创建Route对象。 首先部署一个测试应用 $ oc new-project https $ oc new-app openshift/hello...
OpenShift 4 - 用CA证书或Token访问Internal Registry中的容器
多恩斯基的博客
07-10 1817
通常我们是使用username/password登录OpenShift,不过还可以使用以下方法,利用证书登录OpenShift。 在用集群管理员登录OCP,然后设置环境变量。 $ export OCP_USERNAME="dawnsky" $ export OCP_API_SERVER=https://api.cluster-beijing-1ec3.beijing-1ec3.example.opentlc.com:6443 生成用户的私钥和公钥文件 $ mkdir ${OCP_USERNAME}
Let's encrypt 通配域名DNS验证方式的证书自动更新
weixin_34077371的博客
12-24 481
通配符域名不同于一般的单域名证书. 为了解决之前一篇短文中通配域名通过DNS方式验证的证书自动更新问题. 需要使用到第三方域名提供商的API, 用于自动添加域名的TXT记录, 实现自动验证并完成证书更新过程. 要求和适应性 要求了解 Let's encrypt 通配域名(二级, 三级) 使用 Cloudflare 的DNS解析服务 阿...
Let‘s Encrypt 使用
Blue summer的博客
07-29 1807
Let’sEncrypt是一个非盈利的自动证书颁发机构(CA),我们可以免费的从Let’sEncrypt获取自己网站域名证书,只需要在我们的web主机上运行使用ACME协议的软件来获取Let’sEncrypt证书
Let's Encrypt通配符证书申请与运维解析
Let’s Encrypt采用ACME(Automatic Certificate Management Environment)协议进行证书申请、验证和管理。 ACME协议是Let’s Encrypt与客户端进行交互的标准,它定义了验证域名所有权以及请求、更新和撤销证书的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值