cert-manager使用

最新推荐文章于 2024-03-19 16:52:06 发布
最新推荐文章于 2024-03-19 16:52:06 发布
阅读量2.4k 收藏 5
点赞数
分类专栏: 证书 文章标签: cert-manager Lets encrypt ClusterIssuer
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010039418/article/details/125460797
版权

1 关于cert-manager

在使用Let’s Encrypt时,我们知道由它颁发的证书有效期只有90天,因此最好是使用自动化方式去申请和续期。而cert-manager可以将certificates和certificate issuers作为资源类型添加到k8s集群中,这样就能简化证书的申请,续期等操作,它可以确保证书有效并在证书过期前一段时间(可配置)对证书进行续期。

cert-manager除了支持Let’s Encrypt,还支持HashiCorp Vault,Venafi以及私有PKI。

2 部署cert-manager

我们直接采用helm方式部署,比较简单,前提是确保相关镜像能获取到。

先添加并更新对应的repo,

helm repo add jetstack https://charts.jetstack.io
helm repo update

然后我们就可以直接部署了

helm install \
  cert-manager jetstack/cert-manager \
  --namespace cert-manager \
  --create-namespace \
  --version v1.8.2 \
  --set installCRDs=true

等待一会,就可以查看下对应资源是否被创建,

[root@master ~]# kubectl get pod -n cert-manager
NAME                                      READY   STATUS      RESTARTS   AGE
cert-manager-5bb7949947-z2qmx             1/1     Running     1          4d18h
cert-manager-cainjector-5ff98c66d-v98pt   1/1     Running     1          4d18h
cert-manager-startupapicheck-7nbgt        0/1     Completed   0          4d18h
cert-manager-webhook-fb48856b5-lz9sl      1/1     Running     1          4d18h

3 添加Issuer

部署好cert-manager后第一件事要做的就是添加Issuer,也就是证书颁发机构。作为k8s资源类型,Issuer是一个namespace域内的资源,只能给这个namespace的应用颁发证书,如果要用于整个集群,就需要创建ClusterIssuer资源。

3.1 HTTP-01 验证

这里我们就以Let’s Encrypt为例,使用http-01认证方式,

cat <<EOF >  cluster-issuer.yaml
apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: letsencrypt-staging
spec:
  acme:
    server: https://acme-staging-v02.api.letsencrypt.org/directory
    email: user@email.com
    privateKeySecretRef:
      name: letsencrypt-staging
    solvers:
    - http01:
        ingress:
          class: nginx
EOF
  • metadata.name 设置证书颁发机构的名称,后面创建证书时需要引用它
  • spec.acme.server 设置acme协议的API地址,我们这里用 Let’s Encrypt的测试环境,如果是生产环境,地址是,https://acme-v02.api.letsencrypt.org/directory
  • spec.acme.email 设置用户邮箱,用于证书过期提醒,或者续期时出错告知。cert-manager会通过acme协议自动为证书续期,所以主要关注续期时是否有异常。
  • spec.acme.privateKeySecretRef 设置k8s集群中存放颁发的私钥的secret名称
  • spec.acme.solvers 设置通过acme协议颁发证书时使用的认证方式为http01
  • spec.acme.solvers.http01.ingress 设置认证时使用的ingress class名称,我们默认部署的ingress-nginx的class name就是nginx

然后部署该issuer,

[root@master cert-manager]# kubectl apply -f cluster-issuer.yaml 
clusterissuer.cert-manager.io/letsencrypt-staging created
[root@master cert-manager]# kubectl  get ClusterIssuer
NAME                  READY   AGE
letsencrypt-staging   True    8s

3.2 DNS-01 验证

同样对于DNS-01认证,只需要修改最后一部分配置,

cat <<EOF >  cluster-issuer.yaml
apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: letsencrypt-staging
spec:
  acme:
    server: https://acme-staging-v02.api.letsencrypt.org/directory
    email: user@email.com
    privateKeySecretRef:
      name: letsencrypt-staging
    solvers:
      - dns01:
          route53:
            region: us-east-1
            role: arn:aws:iam::YYYYYYYYYYYY:role/dns-manager
            hostedZoneID: AABBCCDD
EOF
  • spec.acme.solvers 设置通过acme协议颁发证书时使用的认证方式为dns01,并且使用route53作为dns提供商
  • route53.region 设置对应的AWS区域
  • route53.role 设置访问AWS的role,当然也可以使用access key的方式,但是需要在集群中保存登录凭证,存在一定风险
  • route53.accessKeyID 设置访问AWS的key ID
  • route53.secretAccessKeySecretRef 设置访问AWS的secretAccessKey
  • route53.hostedZoneID 设置该issuer在AWSroute53的作用域

4 创建证书

我们以example.com域名为例,为该域名申请证书,因为我只是测试,且该域名并非我所有,所以肯定是会失败的,我们只是测试一下,

cat <<EOF >  acme-crt.yaml
apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: acme-crt
  namespace: crt-test
spec:
  secretName: acme-crt-secret
  dnsNames:
  - example.com
  - foo.example.com
  issuerRef:
    name: letsencrypt-staging
    kind: ClusterIssuer
EOF
  • spec.issuerRef 设置证书的名字
  • spec.dnsNames 设置需要申请证书的域名
  • spec.issuerRef 设置证书颁发机构,也就是我们上面创建的issuer,记得名字要匹配

然后就是创建证书,我们创建一个测试namespace,

[root@master cert-manager]# kubectl create ns crt-test
[root@master cert-manager]# kubectl apply -f acme-crt.yaml 
certificate.cert-manager.io/acme-crt created
[root@master cert-manager]# kubectl get cert -A
NAMESPACE   NAME       READY   SECRET            AGE
crt-test    acme-crt   False   acme-crt-secret   9m46s

失败自然是预期的,我们并没有该域名控制权,可以查看cert-manager对应日志,

E0731 09:56:47.019024       1 sync.go:186] cert-manager/challenges "msg"="propagation check failed" "error"="wrong status code '404', expected '200'" "dnsName"="example.com" "resource_kind"="Challenge" "resource_name"="acme-crt-nth9l-1488463194-3621207799" "resource_namespace"="crt-test" "resource_version"="v1" "type"="HTTP-01" 
E0731 09:56:47.840614       1 sync.go:186] cert-manager/challenges "msg"="propagation check failed" "error"="failed to perform self check GET request 'http://foo.example.com/.well-known/acme-challenge/hqnyZvnJ8MZ9JwUzrRcNUzwOUcy14TuoxyEtuZgqjBg': Get \"http://foo.example.com/.well-known/acme-challenge/hqnyZvnJ8MZ9JwUzrRcNUzwOUcy14TuoxyEtuZgqjBg\": dial tcp: lookup foo.example.com on 10.96.0.10:53: no such host" "dnsName"="foo.example.com" "resource_kind"="Challenge" "resource_name"="acme-crt-nth9l-1488463194-3800426641" "resource_namespace"="crt-test" "resource_version"="v1" "type"="HTTP-01"

参考文档:

  1. https://cert-manager.io/docs/
  2. https://cert-manager.io/docs/installation/helm/#option-2-install-crds-as-part-of-the-helm-release
  3. https://cert-manager.io/docs/configuration/acme/
  4. https://cert-manager.io/docs/reference/api-docs/#cert-manager.io/v1.Issuer
  5. https://cert-manager.io/docs/configuration/acme/dns01/route53/
Blue summer
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cert-manager-v0.6.7.tgz
08-03
cert-manager-v0.6.7.tgz
手把手教你使用 cert-manager 签发免费证书
热门推荐
吉小白的博客
10-27 1万+
概述 随着 HTTPS 不断普及,越来越多的网站都在从 HTTP 升级到 HTTPS,使用 HTTPS 就需要向权威机构申请证书,需要付出一定的成本,如果需求数量多,也是一笔不小的开支。cert-manager 是 Kubernetes 上的全能证书管理工具,如果对安全级别和证书功能要求不高,可以利用 cert-manager 基于 ACME 协议与 Let's Encrypt 来签发免费证书并自动续期,实现永久免费使用证书。 cert-manager 工作原理 cert-manager 部署到 K
教你读懂cert-manager官网并且使用letsencrypt(一)。
博然的宝藏库
03-19 719
意思就是你使用ingress来调用issuer你需要给ingress添加注解即:Annotated ingress ,然后cert-manager有一个组件叫ingress-shim会watch创建带有这个注解的ingress然后读取yaml并且自动创建ingress中的实际服务器的证书并且自动启用你创建的issuer去挑战这个实际服务器的域名然后创建一个服务器证书。需要给你的创建的 issuer要有一个密钥,secretName字段你想写啥写啥,他会自动创建一个和你写的名称一致的secret。
k8s证书管理工具Cert-Manager介绍
学亮编程手记
11-07 198
例如,您可以定义一个Issuer或ClusterIssuer对象,配置证书颁发机构的详细信息,然后在Ingress或其他资源上指定这个Issuer,Cert-Manager将负责自动创建和管理相应的证书。它可以自动处理证书的生成和更新,确保您的应用程序始终使用有效的证书,并提供HTTPS安全连接。总结起来,Cert-Manager是一个帮助您在Kubernetes中自动化管理证书的工具,它让您更轻松地使用和维护SSL/TLS证书,从而提高应用程序的安全性和可靠性。
如何使用 Cert-Manager 快速实现 Kubernetes 应用域名证书自动化续签
easylife206的专栏
05-19 2032
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !​简介Cert-Manager[1]是一款用于 Kubernetes 集群中自动化管理 TLS 证书的开源工具,它使用了 Kubernetes 的自定义资源定义(CRD)机制,让证书的创建、更新和删除变得非常容易。设计理念Cert-Manager 是将 TLS 证书视为一种资源,就像 Pod、Service 和 De...
Cert Manager 申请SSL证书流程及相关概念-二
east4ming的博客
01-21 1337
中英文对照表 英文 英文 - K8S CRD 中文 备注 certificates Certificate 证书 certificates.cert-manager.io/v1 certificate issuers Issuer 证书颁发者 issuers.cert-manager.io ClusterIssuer 集群证书颁发者 clusterissuers.cert-manager.io certificate request CertificateRequest 证书申请
k8s 使用cert-manager证书管理自签
weixin_42562106的博客
01-20 719
metadata:spec:tls:- hosts:rules:http:paths:- path: /backend:service:port:http:paths:- path: /backend:service:port:最后访问。
k8s部署cert-manager实现证书自动化
weixin_44692256的博客
08-28 3620
cert-manager 是一个云原生证书管理开源项目,用于在 Kubernetes 集群中提供 HTTPS 证书并自动续期,支持 Let’s Encrypt, HashiCorp Vault 这些免费证书的签发。在Kubernetes集群中,我们可以通过 Kubernetes Ingress 和 Let’s Encrypt 实现外部服务的自动化 HTTPS。 前言 在Kubernetes集群中使用HTTPS协议,需要一个证书管理器、一个证书自动签发服务,主要通过Ingress来发布HTTPS服务,因此需要
k8s教程:使用cert-manager证书管理工具在集群中提供https证书并自动续期
学亮编程手记
08-31 2743
cert-manager 是一个云原生证书管理开源项目,用于在 Kubernetes 集群中提供 HTTPS 证书并自动续期,支持 Let’s Encrypt, HashiCorp Vault 这些免费证书的签发。在Kubernetes集群中,我们可以通过 Kubernetes Ingress 和 Let’s Encrypt 实现外部服务的自动化 HTTPS。...
helm 部署 cert-manager 实践
爱死亡机器人
07-19 620
cert-manager 是一个 Kubernetes 上的证书管理控制器,它可以自动化证书签发和更新的过程。它使用了 Kubernetes 中的 Custom Resource Definitions (CRDs) 来定义证书的请求和颁发,以及与之相关的资源,如私钥和证书链。Cert-manager 支持多种证书颁发机构(CA),包括 Let’s Encrypt、Venafi、HashiCorp Vault 等。
cert-manager-webhook-ovh:OVH Webhook证书管理器
05-09
helm install ./deploy/cert-manager-webhook-ovh \ --set groupName= ' <YOUR> ' 如果您自定义了cert-manager的安装,则可能还需要设置certManager.namespace和certManager.serviceAccountName值。发行人使用以下...
cert-manager-acme-httphook:提供一个Kubernetes运营商来应对cert-manager ACME http-01挑战
03-27
cert-manager-acme-httphook 提供一个Kubernetes运营商来应对cert-manager ACME http-01挑战
traefik-cert-manager-letsencrypt
03-29
Traefik证书管理员和Let'Encrypt 该项目允许您安装Traefik和cert-manger,然后部署一个网站(whoami)。 设置完成后,您最终将拥有一个可以通过SSL / TLS通过HTTPS访问的网站笔记: 该项目已经在GKE群集上进行了测试...
Rancher-Cert-Manager:Rancher证书管理器的安装
04-08
使用“让我们加密”为Rancher安装Cert Mgr 让我们加密K8s集群发行人的JetStack kubectl适用-f kubectl获取容器--namespace cert-manager 集群发行人 kubectl create -f staging_issuer.yaml kubectl描述集群发行...
电信塔施工方案.doc
04-27
5G通信行业、网络优化、通信工程建设资料。
29-【智慧城市与政府治理分会场】10亿大数据助推都市治理-30页.pdf
04-27
29-【智慧城市与政府治理分会场】10亿大数据助推都市治理-30页.pdf
ABB IRC5 Compact 机器人产品手册
最新发布
04-27
ABB IRC5 Compact 机器人产品手册
LTE容量优化高负荷小区优化指导书.docx
04-27
5G通信行业、网络优化、通信工程建设资料
执行kubectl apply --validate=false -f https://github.com/jetstack/cert-manager/releases/download/v1.0.4/cert-manager.crds.yaml时报错:Unable to connect to the server: x509: certificate signed by unknown authority应该怎么处理
06-07
这个错误是因为 Kubernetes 集群不能验证颁发此证书的证书颁发机构(CA)。你可以通过以下步骤解决此问题: 1. 下载证书:`curl -LO https://github.com/jetstack/cert-manager/releases/download/v1.0.4/cert-manager.crds.yaml` 2. 从 Kubernetes 集群中获取当前使用的 CA 证书:`kubectl config view --raw --minify --flatten -o jsonpath='{.clusters[].cluster.certificate-authority-data}'` 3. 将第 2 步中获取到的 CA 证书内容添加到第 1 步中下载的证书中:`cat cert-manager.crds.yaml | sed "s/caBundle:.*$/caBundle: $(cat ca.crt | base64 | tr -d '\n')/g" > cert-manager.crds-with-ca.yaml` 4. 应用更新后的证书:`kubectl apply --validate=false -f cert-manager.crds-with-ca.yaml` 这样,你就可以成功应用 cert-manager CRDs 了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值