手把手教你使用 cert-manager 签发免费证书

最新推荐文章于 2024-06-19 09:31:38 发布
最新推荐文章于 2024-06-19 09:31:38 发布
阅读量1.1w 收藏 19
点赞数 1
文章标签: kubernetes 云计算 https http 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yunxiao6/article/details/109307268
版权

概述

随着 HTTPS 不断普及,越来越多的网站都在从 HTTP 升级到 HTTPS,使用 HTTPS 就需要向权威机构申请证书,需要付出一定的成本,如果需求数量多,也是一笔不小的开支。cert-manager 是 Kubernetes 上的全能证书管理工具,如果对安全级别和证书功能要求不高,可以利用 cert-manager 基于 ACME 协议与 Let’s Encrypt 来签发免费证书并自动续期,实现永久免费使用证书。

cert-manager 工作原理

cert-manager 部署到 Kubernetes 集群后,它会 watch 它所支持的 CRD 资源,我们通过创建 CRD 资源来指示 cert-manager 为我们签发证书并自动续期:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-s9Hn3KpP-1603780516779)(https://cert-manager.io/images/high-level-overview.svg)]

解释下几个关键的资源:

  • Issuer/ClusterIssuer: 用于指示 cert-manager 用什么方式签发证书,本文主要讲解签发免费证书的 ACME 方式。ClusterIssuer 与 Issuer 的唯一区别就是 Issuer 只能用来签发自己所在 namespace 下的证书,ClusterIssuer 可以签发任意 namespace 下的证书。
  • Certificate: 用于告诉 cert-manager 我们想要什么域名的证书以及签发证书所需要的一些配置,包括对 Issuer/ClusterIssuer 的引用。

免费证书签发原理

Let’s Encrypt 利用 ACME 协议来校验域名是否真的属于你,校验成功后就可以自动颁发免费证书,证书有效期只有 90 天,在到期前需要再校验一次来实现续期,幸运的是 cert-manager 可以自动续期,这样就可以使用永久免费的证书了。如何校验这个域名是否属于你呢?主流的两种校验方式是 HTTP-01 和 DNS-01,详细校验原理可参考 Let’s Encrypt 的运作方式,下面将简单描述下。

HTTP-01 校验原理

HTTP-01 的校验原理是给你域名指向的 HTTP 服务增加一个临时 location ,Let’s Encrypt 会发送 http 请求到 http:///.well-known/acme-challenge/YOUR_DOMAIN 就是被校验的域名,TOKEN 是 ACME 协议的客户端负责放置的文件,在这里 ACME 客户端就是 cert-manager,它通过修改或创建 Ingress 规则来增加这个临时校验路径并指向提供 TOKEN 的服务。Let’s Encrypt 会对比 TOKEN 是否符合预期,校验成功后就会颁发证书。此方法仅适用于给使用 Ingress 暴露流量的服务颁发证书,并且不支持泛域名证书。

DNS-01 校验原理

DNS-01 的校验原理是利用 DNS 提供商的 API Key 拿到你的 DNS 控制权限, 在 Let’s Encrypt 为 ACME 客户端提供令牌后,ACME 客户端 (cert-manager) 将创建从该令牌和您的帐户密钥派生的 TXT 记录,并将该记录放在 _acme-challenge.。 然后 Let’s Encrypt 将向 DNS 系统查询该记录,如果找到匹配项,就可以颁发证书。此方法不需要你

最低0.47元/天 解锁文章
「已注销」
关注
  • 1
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
k8s中cert-manager管理https证书
椰汁菠萝
02-02 991
目前https是刚需,但证书又很贵,虽然阿里云有免费的,但没有泛域名证书,每有一个子域名就要申请一个证书,有效期1年,1年一到全都的更换,太麻烦了。经过搜索,发现了自动更新证书神器;当然cert-manager是基于k8s的。
cert-manager:在Kubernetes中自动配置和管理TLS证书
02-02
证书经理 cert-managerKubernetes的附加组件,用于自动管理和颁发各种发行来源的TLS证书。 它将确保证书有效并定期更新,并尝试在到期前的适当时间更新证书。 它大致基于的工作,并从其他类似项目(例如借鉴了一些智慧。 文献资料 cert-manager的文档可以在找到。 请确保选择正确版本的文档以在页面右上方查看。 有关文档的问题和PR应在提交。 有关向Ingress资源自动颁发TLS证书(又名替代品)的常见用例,请参阅。 有关,请参阅中的安装。 故障排除 如果您在使用cert-manager时遇到任何问题,我们可以在许多地方尝试获得帮助。 首先,我们建议您查阅文档的。 提出问题最快的方法是先在Slack频道(#cert-manager)上发布。 这个频道中有很多社区成员,您通常可以立即获得问题的答案! 您也可以尝试。 正确搜索现有问题将有助于减少重复的次数,并帮助您更快地找到所需的答案。 在打开问题之前,还请确保通读的相关页面。 您也可以使用页面左上方的搜索框搜索文档。 如果您认为自己已遇到错误,并且找不到与自己的问题相似的现有问题,则可以。 请
推荐一款强大的证书管理工具:CertManager
最新发布
gitblog_00023的博客
06-19 307
推荐一款强大的证书管理工具:CertManager 项目地址:https://gitcode.com/math-nao/certs 1、项目介绍 在现代云原生环境中,安全通信是至关重要的,而TLS/SSL证书正是保障数据传输加密的关键。CertManager 是一个开放源代码的项目,由 Jetstack 团队开发并维护,它旨在简化 Kubernetes 集群中自动化TLS证书的管理和更新流程。通过...
如何使用 Cert-Manager 快速实现 Kubernetes 应用域名证书自动化续签
easylife206的专栏
05-19 2259
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !​简介Cert-Manager[1]是一款用于 Kubernetes 集群中自动化管理 TLS 证书的开源工具,它使用Kubernetes 的自定义资源定义(CRD)机制,让证书的创建、更新和删除变得非常容易。设计理念Cert-Manager 是将 TLS 证书视为一种资源,就像 Pod、Service 和 De...
k8s-证书管理之cert-manager自动生成证书_cert-manager
2401_84254011的博客
04-15 907
issuer与clusterissuer两个签发资源,issuer只能在同一命名空间内签发证书,clusterissuer可以在所有命名空间内签发证书。上面用的是cert-manager的自签证书做为CA,也可以自已定义个CA放在secret里,然后做为clusterissuer来进行后续的签发。在注解中定义cert-manager.io/cluster-issuer,并指定clusterissuer的名称;如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
cert-manager使用
Blue summer的博客
07-31 2572
使用Let’sEncrypt时,我们知道由它颁发的证书有效期只有90天,因此最好是使用自动化方式去申请和续期。而cert-manager可以将certificates和certificateissuers作为资源类型添加到k8s集群中,这样就能简化证书的申请,续期等操作,它可以确保证书有效并在证书过期前一段时间(可配置)对证书进行续期。cert-manager除了支持Let’sEncrypt,还支持HashiCorpVault,Venafi以及私有PKI。...
Cert Manager 申请SSL证书流程及相关概念-二
east4ming的博客
01-21 1429
中英文对照表 英文 英文 - K8S CRD 中文 备注 certificates Certificate 证书 certificates.cert-manager.io/v1 certificate issuers Issuer 证书颁发者 issuers.cert-manager.io ClusterIssuer 集群证书颁发者 clusterissuers.cert-manager.io certificate request CertificateRequest 证书申请
你读懂cert-manager官网并且使用letsencrypt(一)。
博然的宝藏库
03-19 882
意思就是你使用ingress来调用issuer你需要给ingress添加注解即:Annotated ingress ,然后cert-manager有一个组件叫ingress-shim会watch创建带有这个注解的ingress然后读取yaml并且自动创建ingress中的实际服务器的证书并且自动启用你创建的issuer去挑战这个实际服务器的域名然后创建一个服务器证书。需要给你的创建的 issuer要有一个密钥,secretName字段你想写啥写啥,他会自动创建一个和你写的名称一致的secret。
Rancher-Cert-Manager:Rancher证书管理器的安装
04-08
kubectl获取容器--namespace cert-manager 集群发行人 kubectl create -f staging_issuer.yaml kubectl描述集群发行者letencrypt- kubectl create -f prod_issuer.yaml 创建lb后,我们需要在LB yaml文件中添加以下...
cert-manager-webhook-ovh:OVH Webhook证书管理器
05-09
helm install ./deploy/cert-manager-webhook-ovh \ --set groupName= ' <YOUR> ' 如果您自定义了cert-manager的安装,则可能还需要设置certManager.namespace和certManager.serviceAccountName值。发行人使用以下...
cert-manager-v0.6.7.tgz
08-03
cert-manager是由Jetstack开发的一个开源项目,它通过集成ACME(Automatic Certificate Management Environment,自动证书管理环境)协议与Let's Encrypt等免费证书颁发机构交互,实现了对Kubernetes集群内服务证书...
cert-manager-acme-httphook:提供一个Kubernetes运营商来应对cert-manager ACME http-01挑战
03-27
它支持多种颁发证书的权威机构(CA),其中包括Let's Encrypt,它使用ACME协议(Automatic Certificate Management Environment)来验证和签发证书。ACME协议提供了多种挑战类型,其中http-01挑战是最常用的一种。 ...
helm 部署 cert-manager 实践
爱死亡机器人
07-19 808
cert-manager 是一个 Kubernetes 上的证书管理控制器,它可以自动化证书签发和更新的过程。它使用Kubernetes 中的 Custom Resource Definitions (CRDs) 来定义证书的请求和颁发,以及与之相关的资源,如私钥和证书链。Cert-manager 支持多种证书颁发机构(CA),包括 Let’s Encrypt、Venafi、HashiCorp Vault 等。
k8s 使用cert-manager证书管理自签
weixin_42562106的博客
01-20 842
metadata:spec:tls:- hosts:rules:http:paths:- path: /backend:service:port:http:paths:- path: /backend:service:port:最后访问。
二十一、K8s集群设置3-HTTPS-Cert-manager
tushanpeipei的博客
12-03 1288
一、Cert-manager原理 紧接着上个部分:https://blog.csdn.net/tushanpeipei/article/details/121369497?spm=1001.2014.3001.5501。我们已经实现了使用CFSSL的方式自己设置CA机构颁发证书。但是由于CA机构是自己产生的,非权威,也就是说无法受到访问者的认可。所以我们需要前往权威的CA机构去申请自己的证书。 Letsencrypt-CA是一家免费提供证书的CA机构,但是正式的时间只有90
k8s程:使用cert-manager证书管理工具在集群中提供https证书并自动续期
学亮编程手记
08-31 2879
cert-manager 是一个云原生证书管理开源项目,用于在 Kubernetes 集群中提供 HTTPS 证书并自动续期,支持 Let’s Encrypt, HashiCorp Vault 这些免费证书签发。在Kubernetes集群中,我们可以通过 Kubernetes Ingress 和 Let’s Encrypt 实现外部服务的自动化 HTTPS。...
k8s证书管理工具Cert-Manager介绍
学亮编程手记
11-07 262
例如,您可以定义一个Issuer或ClusterIssuer对象,配置证书颁发机构的详细信息,然后在Ingress或其他资源上指定这个Issuer,Cert-Manager将负责自动创建和管理相应的证书。它可以自动处理证书的生成和更新,确保您的应用程序始终使用有效的证书,并提供HTTPS安全连接。总结起来,Cert-Manager是一个帮助您在Kubernetes中自动化管理证书的工具,它让您更轻松地使用和维护SSL/TLS证书,从而提高应用程序的安全性和可靠性。
k8s中级篇-cert-manager+Let‘s Encrypt自动证书签发
mldong的博客
05-12 5807
前言 说到免费的SSL证书,大家首先想到的肯定是Let’s Encrypt,而使用过Let’s Encrypt的同学应该也知道,其有效期只有三个月,三个月后要重新续期。github上也有类似的脚本可以做到自动续期。那如果是在k8s上使用免费证书,又如何操作的呢?这里cert-manager就派上用场了。 环境 主机名 ip 角色 mldong01 192.168.0.245 master mldong02 192.168.0.54 node01 mldong03 192.168.0
执行kubectl apply --validate=false -f https://github.com/jetstack/cert-manager/releases/download/v1.0.4/cert-manager.crds.yaml时报错:Unable to connect to the server: x509: certificate signed by unknown authority应该怎么处理
06-07
3. 将第 2 步中获取到的 CA 证书内容添加到第 1 步中下载的证书中:`cat cert-manager.crds.yaml | sed "s/caBundle:.*$/caBundle: $(cat ca.crt | base64 | tr -d '\n')/g" > cert-manager.crds-with-ca.yaml` ...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值