k8s部署cert-manager实现证书自动化

已于 2022-08-13 21:16:14 修改
阅读量3.7k 收藏 6
点赞数 3
分类专栏: k8s cert-manager 文章标签: kubernetes https 运维
于 2020-08-28 10:48:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44692256/article/details/108274385
版权

cert-manager 是一个云原生证书管理开源项目,用于在 Kubernetes 集群中提供 HTTPS 证书并自动续期,支持 Let’s Encrypt, HashiCorp Vault 这些免费证书的签发。在Kubernetes集群中,我们可以通过 Kubernetes Ingress 和 Let’s Encrypt 实现外部服务的自动化 HTTPS。

前言

Kubernetes集群中使用HTTPS协议,需要一个证书管理器、一个证书自动签发服务,主要通过Ingress来发布HTTPS服务,因此需要Ingress Controller并进行配置,启用HTTPS及其路由。

开始部署cert-manager(yaml方式部署)

cert-manager v0.11.0开始,Kubernetes的最低支持版本是v1.12.0。仍在运行Kubernetes v1.11或更低版本的用户应在安装cert-manager之前升级到受支持的版本。

1、创建namespace

yaml文件中已经定义namespace

2、安装cert-manager
# Kubernetes 1.16+
  kubectl apply -f https://github.com/cert-manager/cert-manager/releases/download/v1.8.0/cert-manager.yaml
# Kubernetes <1.16
  kubectl apply --validate=false -f https://github.com/jetstack/cert-manager/releases/download/v1.1.0/cert-manager-legacy.yaml

# Kubernetes 1.15+
  kubectl apply --validate=false -f https://github.com/jetstack/cert-manager/releases/download/v0.16.1/cert-manager.yaml
# Kubernetes <1.15
  kubectl apply --validate=false -f https://github.com/jetstack/cert-manager/releases/download/v0.16.1/cert-manager-legacy.yaml

3、创建clusterissuer
为了配置cert-manager以开始颁发证书,必须先创建IssuerClusterIssuer资源。这些资源代表特定的签名机构,并详细说明如何满足证书请求。Issuer只能用来签发自己所在namespace下的证书,ClusterIssuer可以签发任意namespace下的证书,这里以ClusterIssuer为例创建一个签发机构。

apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: letsencrypt-prod
spec:
  acme:
    server: https://acme-staging-v02.api.letsencrypt.org/directory
    privateKeySecretRef:
      name: letsencrypt-prod
    solvers:
    - http01:
        ingress:
          class: nginx

# 配置
cat <<EOF >  cluster-issuer.yaml
apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: letsencrypt-prod
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    email: 524719755@qq.com
    privateKeySecretRef:
      name: letsencrypt-prod
    solvers:    
    - http01:
        ingress:
          class: nginx
EOF

说明:

metadata.name 创建的签发机构的名称,创建证书的时候会引用
spec.acme.email 邮箱,证书快过期的时候会有邮件提醒,不过cert-manager会利用acme协议自动给我们重新颁发证书来续期
spec.acme.server acme 协议的服务端,由官方给出
spec.acme.privateKeySecretRef 指示此签发机构的私钥将要存储到哪个Secret对象中
spec.acme.solvers.http01 指示签发机构使用HTTP-01的方式进行acme协议 (还可以用DNS方式,acme协议的目的是证明这台机器和域名都是属于你的,然后才准许给你颁发证书)

4、为域名创建certificate(证书)
apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: blog
  namespace: default
spec:
  secretName: blog-tls
  issuerRef:
    name: letsencrypt-prod
    kind: ClusterIssuer
  duration: 2160h
  renewBefore: 360h
  dnsNames:
  - blog.ssgeek.com

说明:

spec.secretName 指示证书最终存到哪个 Secretspec.issuerRef.kind 值为 ClusterIssuer 说明签发机构不在本 namespace 下,而是在全局
spec.issuerRef.name 我们创建的签发机构的名称 (ClusterIssuer.metadata.name)
spec.duration 证书过期时间
spec.renewBefore 在过期前自动更新
spec.dnsNames 指示该证书的可以用于哪些域名

官网链接: cert-manager.io.

Lyrics-w
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cert-manager-v0.6.7.tgz
08-03
cert-manager是由Jetstack开发的一个开源项目,它通过集成ACME(Automatic Certificate Management Environment,自动证书管理环境)协议与Let's Encrypt等免费证书颁发机构交互,实现了对Kubernetes集群内服务证书...
K8s 中使用 cert-manager 申请免费 Https 证书
dotNET跨平台
01-22 1577
K8s 中使用 cert-manager 申请免费 Https 证书Intro最近在尝试将自己的应用从自己用 kind 部署的一个 k8s 集群迁移到 Azure 的 AKS 上,其中一个...
k8s教程:使用cert-manager证书管理工具在集群中提供https证书并自动续期
学亮编程手记
08-31 2866
cert-manager 是一个云原生证书管理开源项目,用于在 Kubernetes 集群中提供 HTTPS 证书并自动续期,支持 Let’s Encrypt, HashiCorp Vault 这些免费证书的签发。在Kubernetes集群中,我们可以通过 Kubernetes Ingress 和 Let’s Encrypt 实现外部服务的自动化 HTTPS。...
推荐一款强大的证书管理工具:CertManager
最新发布
gitblog_00023的博客
06-19 300
推荐一款强大的证书管理工具:CertManager 项目地址:https://gitcode.com/math-nao/certs 1、项目介绍 在现代云原生环境中,安全通信是至关重要的,而TLS/SSL证书正是保障数据传输加密的关键。CertManager 是一个开放源代码的项目,由 Jetstack 团队开发并维护,它旨在简化 Kubernetes 集群中自动化TLS证书的管理和更新流程。通过...
如何使用 Cert-Manager 快速实现 Kubernetes 应用域名证书自动化续签
easylife206的专栏
05-19 2236
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !​简介Cert-Manager[1]是一款用于 Kubernetes 集群中自动化管理 TLS 证书的开源工具,它使用了 Kubernetes 的自定义资源定义(CRD)机制,让证书的创建、更新和删除变得非常容易。设计理念Cert-Manager 是将 TLS 证书视为一种资源,就像 Pod、Service 和 De...
手把手教你使用 cert-manager 签发免费证书
吉小白的博客
10-27 1万+
概述 随着 HTTPS 不断普及,越来越多的网站都在从 HTTP 升级到 HTTPS,使用 HTTPS 就需要向权威机构申请证书,需要付出一定的成本,如果需求数量多,也是一笔不小的开支。cert-managerKubernetes 上的全能证书管理工具,如果对安全级别和证书功能要求不高,可以利用 cert-manager 基于 ACME 协议与 Let's Encrypt 来签发免费证书并自动续期,实现永久免费使用证书cert-manager 工作原理 cert-manager 部署到 K
k8s-证书管理之cert-manager自动生成证书
zerotoall的博客
04-24 1095
cert-manager是基于ACME协议与Let's Encrypt来签发免费证书并自动续期,实现永久免费使用证书Kubernetes提供了基于CA签名的双向数字证书认证方式和简单的基于HTTP Base或Token的认证方式,其中CA证书方式的安全性最高。
cert-manager使用
Blue summer的博客
07-31 2568
在使用Let’sEncrypt时,我们知道由它颁发的证书有效期只有90天,因此最好是使用自动化方式去申请和续期。而cert-manager可以将certificates和certificateissuers作为资源类型添加到k8s集群中,这样就能简化证书的申请,续期等操作,它可以确保证书有效并在证书过期前一段时间(可配置)对证书进行续期。cert-manager除了支持Let’sEncrypt,还支持HashiCorpVault,Venafi以及私有PKI。...
Rancher-Cert-Manager:Rancher证书管理器的安装
04-08
kubectl获取容器--namespace cert-manager 集群发行人 kubectl create -f staging_issuer.yaml kubectl描述集群发行者letencrypt- kubectl create -f prod_issuer.yaml 创建lb后,我们需要在LB yaml文件中添加以下...
cert-manager-webhook-ovh:OVH Webhook证书管理器
05-09
helm install ./deploy/cert-manager-webhook-ovh \ --set groupName= ' <YOUR> ' 如果您自定义了cert-manager的安装,则可能还需要设置certManager.namespace和certManager.serviceAccountName值。发行人使用以下...
cert-manager:在Kubernetes中自动配置和管理TLS证书
02-02
证书经理cert-managerKubernetes的附加组件,用于自动管理和颁发各种发行来源的TLS证书。 它将确保证书有效并定期更新,并尝试在到期前的适当时间更新证书。 它大致基于的工作,并从其他类似项目(例如借鉴了一些...
jetstack/cert-manager CRDs
01-07
kubernetes证书服务cert-manager安装所需的CRDs。 kubectl apply --validate=false -f https://raw.githubusercontent.com/jetstack/cert-manager/release-0.12/deploy/manifests/00-crds.yaml 可能由于网络原因...
k8s中使用cert-manager部署gitlab集群
最美dee时光的博客
12-26 1555
写在前面的话:前面有详细的分享过,不过当时使用gitlab的访问证书是阿里云上免费的ssl证书,今天特意专门介绍下另外一种基于cert-manager发布自签证书的方式实现部署gitlab到k8s集群中。
k8s-证书管理之cert-manager自动生成证书_cert-manager
2401_84254011的博客
04-15 890
issuer与clusterissuer两个签发资源,issuer只能在同一命名空间内签发证书,clusterissuer可以在所有命名空间内签发证书。上面用的是cert-manager的自签证书做为CA,也可以自已定义个CA放在secret里,然后做为clusterissuer来进行后续的签发。在注解中定义cert-manager.io/cluster-issuer,并指定clusterissuer的名称;如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
k8scert-manager管理https证书
椰汁菠萝
02-02 989
目前https是刚需,但证书又很贵,虽然阿里云有免费的,但没有泛域名证书,每有一个子域名就要申请一个证书,有效期1年,1年一到全都的更换,太麻烦了。经过搜索,发现了自动更新证书神器;当然cert-manager是基于k8s的。
k8s实践(12)--K8s service服务详解
热门推荐
黄规速博客:学如逆水行舟,不进则退
06-30 1万+
一、集群的服务分类 在K8S运行的服务,从简单到复杂可以分成三类:无状态服务、普通有状态服务和有状态集群服务。下面分别来看K8S是如何运行这三类服务的。 1、无状态服务(Stateless Service): 1)定义:是指该服务运行的实例不会在本地存储需要持久化的数据,并且多个实例对于同一个请求响应的结果是完全一致的。 2)随意扩容和缩容:这些节点可以随意扩容或者缩容,只要简单的增...
k8s证书管理工具Cert-Manager介绍
学亮编程手记
11-07 259
例如,您可以定义一个Issuer或ClusterIssuer对象,配置证书颁发机构的详细信息,然后在Ingress或其他资源上指定这个Issuer,Cert-Manager将负责自动创建和管理相应的证书。它可以自动处理证书的生成和更新,确保您的应用程序始终使用有效的证书,并提供HTTPS安全连接。总结起来,Cert-Manager是一个帮助您在Kubernetes自动化管理证书的工具,它让您更轻松地使用和维护SSL/TLS证书,从而提高应用程序的安全性和可靠性。
k8s1.18.20:cert-manager 1.8 安装部署
那个那个
07-19 946
cert-managerKubernetes 集群中增加了证书 (certificates) 和证书颁发者 (certificate issuers) 作为资源类型,并简化了获取、更新和应用这些证书的过程。它能够从各种反对的起源签发证书,包含 Let’s Encrypt、HashiCorp Vault 和 Venafi 以及私人 PKI。
K8S使用cert-manager申请cloudflare证书
尹曦的博客
07-27 561
3、创建cloudflare-api-token-secret。4、创建cluster-issuer.yaml。8、如果状态Ready不是True需要查看原因。2、使用helm安装cert-manager。注意给api编辑DNS的权限。5、创建cert.yaml。7、查看证书申请状态。
执行kubectl apply --validate=false -f https://github.com/jetstack/cert-manager/releases/download/v1.0.4/cert-manager.crds.yaml时报错:Unable to connect to the server: x509: certificate signed by unknown authority应该怎么处理
06-07
这个错误是因为 Kubernetes 集群不能验证颁发此证书证书颁发机构(CA)。你可以通过以下步骤解决此问题: 1. 下载证书:`curl -LO https://github.com/jetstack/cert-manager/releases/download/v1.0.4/cert-manager.crds.yaml` 2. 从 Kubernetes 集群中获取当前使用的 CA 证书:`kubectl config view --raw --minify --flatten -o jsonpath='{.clusters[].cluster.certificate-authority-data}'` 3. 将第 2 步中获取到的 CA 证书内容添加到第 1 步中下载的证书中:`cat cert-manager.crds.yaml | sed "s/caBundle:.*$/caBundle: $(cat ca.crt | base64 | tr -d '\n')/g" > cert-manager.crds-with-ca.yaml` 4. 应用更新后的证书:`kubectl apply --validate=false -f cert-manager.crds-with-ca.yaml` 这样,你就可以成功应用 cert-manager CRDs 了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值