如何更改 Kubernetes Ingress 中的默认证书链

tag-icon tag-icon kubernetes lets-encrypt ingress
如何更改 Kubernetes Ingress 中的默认证书链

我在 Azure 上使用 AKS 和 Ingress,并使用 Let's Encrypt 证书(由https://docs.microsoft.com/en-us/azure/aks/ingress-static-ip

证书链默认为,DST Root CA X3但我想将其更改为替代ISRG Root X1

https://letsencrypt.org/certificates/#cross-signing

几乎所有服务器运营商都会选择提供包含中间证书的链,证书主体为“Let's Encrypt Authority X3”,颁发者为“DST Root CA X3”。

你能告诉我,如何将默认中间证书更改为Let’s Encrypt Authority X3 (Signed by ISRG Root X1)

我知道ISRG Root X1应该在 2020 年 9 月 29 日成为默认设置(https://letsencrypt.org/2019/04/15/transitioning-to-isrg-root.html)所以我只能等待(不是最佳选择)。但之后这对于需要保持DST Root CA X3

答案1

如果你正在使用证书管理器,中间证书的可选控制尚未可用

但这并不能阻止你用 certbot 颁发自己的证书增加了选择链条的支持在入口处安装

certbot ... --preferred-chain "ISRG Root X1"

任何未知的值preferred-chain都会为您提供默认链。

答案2

可能有点晚了,但现在已经支持了。您可以像这样配置您的发行者:

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: letsencrypt
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    preferredChain: "ISRG Root X1"

这一页更多

相关内容