目录
一、背景
华为云CCE集群(k8s)有多个域名,域名(泛域名)都使用同一个SSL证书,并且还使用到了华为云ELB负载均衡的https协议,即在华为云负载均衡也配置了相同的SSL证书。
需要注意的是CCE的SSL证书会自动同步ELB负载均衡SSL证书,保持负载均衡ELB的证书和CCE的证书保持一致。
若是仅仅更换负载均衡ELB的SSL证书,那么不会生效。假如证书即将到期,你更新负载均衡ELB的SSL证书,但是忘记了更新CCE的SSL证书,那么域名会提示不安全,毕竟新的SSL证书没有生效,而此时仍然使用的是旧的过期SSL证书,所以会提示域名不安全。
最简单的做法是,只需要更新CCE的SSL证书即可。
二、创建CCE证书
登录华为云CCE,添加secret,选择的类型是 IngressTLS,即用来保存SSL证书,在kubernetes,ssl保存在secret中,ingress通过引用secret来实现关联ssl。最后将ingres的secret名字替换成新添加的密钥secret 密钥名称,这种方法比较保守,若是过程中密钥信息有误,可以通过恢复ingress旧的密钥名称,来实现使用旧SSL证书。
直接修改旧的secret证书信息,只需要选中在使用的密钥名称,点击更新,然后上传SSL证书的证书文件crt和key文件就完成了CCE证书更新。
三、替换证书
打开CCE网络管理,选中ingress 以及指定集群和服务的命名空间,就可以看到相关的ingress配置的域名了。我的环境是泛域名,全部域名使用同一个证书,所以我的服务证书名字是相同的,所以需要依次更新各个ingress的服务正式,我实际的操作是通过命令行修改的。
命令行使用简单说明,该命名空间的所有ingress的域名都是使用相同的SSL证书,则更便捷的方法是,登录安装有kubectl工具,并且可以正常访问和操作该CCE(k8s)集群的服务器,通过kubectl edit ingress 结合sed 等shell命令批量更新ingress的ssl证书名字,这里我就不演示了。
在ingress中,服务证书名字相同的,说明使用使用https协议并且使用的证书是一样的,服务证书名字为空的,说明该域名是使用的是http协议不要使用ssl证书。
选择对应的域名,点击更新操作,可以看到如下图信息:
四、更新完成的结果
我的CCE环境由于是泛域名,所有域名都使用一样的SSL证书,所有服务器证书名字是一样的,更新完成后要再次确认服务器证书(SSL)名字是一样的,若是不同的域名使用不同的证书,则不同域名的ingress需要壹壹对应各自的证书名字。
五、确认负载均衡证书同步
登录华为云负载均衡ELB查看对应域名的证书信息,可以发现更新时间发生了变化,和更新CCE证书时间基本是保持一致的。说明华为云https协议的负载均衡ELB会自动同步CCE的证书,并且以CCE证书为基准,保持负载均衡ELB的证书和CCE证书一致。
六、确认证书已更新成功
更新完成CCE域名相关的证书后,最简单的验证SSL证书是否更新成功的方法就是,直接通过PC访问域名查看证书信息以及证书过期时间。
在浏览地址栏输入域名访问,点击浏览器地址栏的锁图案(安全连接)查看域名证书信息。能正常通过域名访问,并且对应的域名有效期已成功改变为对应证书的有效时间,说明证书更新成功。
操作步骤:
安全连接 --> 更多信息 --> 查看证书
1055
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
