教你读懂cert-manager官网并且使用letsencrypt(二)。

最新推荐文章于 2024-07-24 21:41:50 发布
最新推荐文章于 2024-07-24 21:41:50 发布
阅读量306 收藏 9
点赞数 5
分类专栏: 记录学习或工作中遇到的问题 文章标签: https 网络协议 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46510209/article/details/136847995
版权
本文详细指导了在使用cert-manager时遇到LetsEncrypt证书未正常获取的问题,涉及issuer、ingress配置、CertificateRequest、order和challenges的检查,以及如何通过调整CoreDNSDNS解析来解决问题。
摘要由CSDN通过智能技术生成

这次讲的是 troubleshooting about letsencrypt.

Troubleshooting Problems with ACME / Let's Encrypt Certificates - cert-manager Documentation

letsencrypt 你创建了issuer,ingress 但是你发现你的证书是没有 正常状态的,访问服务器域名反馈是不受信任的。

那么就是因为证书是打到ingress上,但你的证书没有被挑战通过。

那么此时就troubleshooting。

troubleshooting的思路:

1.检查创建的issuer

rancher-rke-01:/demo # kubectl get issuer -n demo
NAME               READY   AGE
letsencrypt-demo   True    31m

状态为True 则正常。如果不正常检查yaml配置。 

2.检查调用的ingress配置

检查yaml配置。
重点是:注解部分

3.检查CertificateRequest

rancher-rke-01:/demo # kubectl get CertificateRequest -n cattle-system
NAME                    APPROVED   DENIED   READY   ISSUER    REQUESTOR                                         AGE
tls-rancher-ingress-1   True                False   rancher   system:serviceaccount:cert-manager:cert-manager   29h

我这里就不正常,查看为啥不正常。

kubectl describe  CertificateRequest -n cattle-system 

 

原因:你的order没有就绪呀,继续排。

4.检查order

kubectl describe order -n cattle-system

 

order的意思就是你的挑战没通过,我没办法给你颁发。那么继续看挑战,为啥没过? 

5.检查challenges

kubectl describe challenges -n cattle-system

 意思就是说: 10.43.0.10 这是我coredns的pod ip,我的coredns没办法解析这个域名没有对于的ip地址。

根因就是这里,因为内部的域名coredns那肯定没有嘛,哪怕coredns他解析不来也可以用你主机cat /etc/resolv.conf,但因为你主机的dns也没有这个记录的嘛。

所以咱们可以手动在coredns中添加这条dns解析记录来解决。

Simulate Let’s Encrypt certificate issuing in local Kubernetes | Manabie Tech Blog

参考这篇文章,
下课! 

A ?Charis
关注
  • 5
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
读懂cert-manager官网并且使用letsencrypt(一)。
博然的宝藏库
03-19 882
意思就是你使用ingress来调用issuer你需要给ingress添加注解即:Annotated ingress ,然后cert-manager有一个组件叫ingress-shim会watch创建带有这个注解的ingress然后读取yaml并且自动创建ingress中的实际服务器的证书并且自动启用你创建的issuer去挑战这个实际服务器的域名然后创建一个服务器证书。需要给你的创建的 issuer要有一个密钥,secretName字段你想写啥写啥,他会自动创建一个和你写的名称一致的secret。
Istio(Envoy)+ Cert-Manager +Let's Encrypt for TLS
殷龙飞的专栏
06-20 2282
Istio(Envoy)+ Cert-Manager +Let’s Encrypt for TLS 更新 感谢 Laurent Demailly 的评论,这里有一些更新。这篇文章已经得到了更新: 现在有一个 Cert-Manager 官方 Helm 图表 Istio Ingress 也支持基于 HTTP/2 的 GRPC Istio Istio 是管理微服务世界中数据流的新方...
使用cert-manager实现Ingress https
justlpf的专栏
02-27 248
超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS,为了数据传输的安全,HTTPSHTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。
一文读懂Thanos多集群监控
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
08-27 1052
关注「开源Linux」,选择“设为星标”回复「学习」,有我为您特别筛选的学习资料~在本文中,我们将看到Prometheus监控技术栈的局限性,以及为什么移动到基于Thanos的技术栈可以提...
手把手你部署一个最小化的 Kubernetes 集群
easylife206的专栏
03-10 974
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !虽然网上有大量从零搭建 K8S 的文章,但大都针对老版本,若直接照搬去安装最新的 1.20 版本会遇到一堆...
hook监控限制_访问webhook
weixin_33933280的博客
12-30 524
容器镜像服务 - Webhook使用说明Webhook介绍阿里云镜像服务为每个仓库提供了Webhook的功能,帮助用户在镜像构建成功后进行消息的推送,实现持续集成的后续流程。如果用户设置了一个容器服务触发器的Webhook,那么当镜像构建成功后,将会自动触发容器服务上应用拉取新的镜像,并进行重新部署。详见文章目前,阿里云镜像服务提供了...文章瑶靖2016-11-256070浏览量如何使用webh...
给工程师:关于证书(certificate)和公钥基础设施(PKI)的一切
云原生实验室
10-11 5018
译者序本文翻译自 2018 年的一篇英文博客:Everything you should know about certificates and PKI but are too afrai...
cas开发_全球开发商cas被认为有害
weixin_26636643的博客
08-13 228
cas开发Originally published at https://httptoolkit.tech. 最初在 https://httptoolkit.tech上 发布 。 Certificate infrastructure is built on trust. If you trust the wrong thing, it all falls down. Unfortunately,...
traefik-cert-manager-letsencrypt
03-29
Traefik证书管理员和Let'Encrypt 该项目允许您安装Traefik和cert-manger,然后部署一个网站(whoami)。 设置完成后,您最终将拥有一个可以通过SSL / TLS通过HTTPS访问的网站笔记: 该项目已经在GKE群集上进行了测试...
cert-manager-v0.6.7.tgz
08-03
cert-manager是由Jetstack开发的一个开源项目,它通过集成ACME(Automatic Certificate Management Environment,自动证书管理环境)协议与Let's Encrypt等免费证书颁发机构交互,实现了对Kubernetes集群内服务证书...
Rancher-Cert-Manager:Rancher证书管理器的安装
04-08
Rancher证书经理 使用“让我们加密”为Rancher安装Cert Mgr ...元数据:批注:cert-manager.io/cluster-issuer:letsencrypt-prod 和 规格:tls: 主持人: medical.suse.studio secretName:medical-suse-studio-crt
cert-manager-webhook-ovh:OVH Webhook证书管理器
05-09
helm install ./deploy/cert-manager-webhook-ovh \ --set groupName= ' <YOUR> ' 如果您自定义了cert-manager的安装,则可能还需要设置certManager.namespace和certManager.serviceAccountName值。发行人使用以下...
bitnami-docker-cert-manager-webhook:Cert Manager Webhook的Bitnami Docker映像
04-22
Cert Manager Webhook使用Webhook服务器提供对证书管理器资源的动态准入控制。 Cert-manager是Kubernetes的附加组件,用于自动管理和颁发各种发行来源的TLS证书。 它将确保证书有效并定期更新,并在到期前尝试在...
我去,怎么http全变https
qq_17105113的博客
07-19 9002
HTTP的。
解决kkfileview 使用https预览问题记录
checkjiji的博客
07-23 515
项目使用了开源的kkfileview进行文件在线预览,部署方式使用的是docker,使用IP进行访问,但是http协议直接访问有漏洞告警,现在需要调整为https,且仍然需要使用IP访问。问题:使用自签证书将web中间件访问方式调整为https,代理kkfile容器8012端口,后预览图片正常,预览其他类型文件提示如下错误。2.修改Dockerfile把证书加入到kkfile的jdk环境。4.替换web中间件的自签证书,重新加载web服务,验证预览。3.使用新镜像重新启动kkfileview。
https改造-python https 改造
杨杨杨~~的博客
07-24 317
如果您觉得有用的话,记得给,写作不易啊^ _ ^。而且听说,实在白嫖的话,那欢迎常来啊!!!
学习笔记13:怎么申请https 证书
最新发布
ALex_zry的博客
07-24 973
申请 HTTPS 证书(也称为 SSL/TLS 证书)是一个涉及多个步骤的过程,主要目的是为网站提供安全加密和身份验证。
HttpHttps 的区别(图文详解)
栗筝i的博客
07-22 1399
HTTP(Hypertext Transfer Protocol)和 HTTPS(Hypertext Transfer Protocol Secure)是用于在网络上进行通信的协议。它们的主要区别在于安全性和加密方式。
执行kubectl apply --validate=false -f https://github.com/jetstack/cert-manager/releases/download/v1.0.4/cert-manager.crds.yaml时报错:Unable to connect to the server: x509: certificate signed by unknown authority应该怎么处理
06-07
这个错误是因为 Kubernetes 集群不能验证颁发此证书的证书颁发机构(CA)。你可以通过以下步骤解决此问题: 1. 下载证书:`curl -LO ...这样,你就可以成功应用 cert-manager CRDs 了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值