我正在尝试了解 Kubernetes 的工作原理,因此我K3S使用快速入门指南。 然后我使用Helm 指南。 我想为我的集群使用 Let's Encrypt 证书,并使用dns01我的 DNS 提供商 Simply.com 的 webhook 来验证它们。 您可以使用此处的 webhook 来完成此操作: https://github.com/RunnerM/simply-dns-webhook 目前,我正在测试是否可以使用他们的暂存服务器从 Let's Encrypt 获取证书。 letsencrypt-staging.yaml我制作了包含以下内容的Yam...
有人知道 Rancher RKE2 集群出了什么问题吗?我在部署带有 Vault 发行者的 Cert-manager 时遇到了一些奇怪的问题,Vault 被“拒绝访问”(或更确切地说是kubectl describe clusterissuers vault-issuer显示Error initializing issuer: while requesting a Vault token using the Kubernetes auth: error calling Vault server: Error making API request.; URL:...
我已经设置了 cert-manager 来使用私有 CA 颁发者签署证书。私有 CA 机密已正确设置,在添加到 TLS 机密之前,我已经使用 OpenSSL verify 命令验证了链,并且它们都正确地验证了根。但是当使用 cert-manager 执行相同操作时,证书未签名,我收到错误消息“消息:证书请求未能完成,将重试:签名证书时出错:证书链格式错误或损坏” 以下是证书颁发者的 yaml apiVersion: cert-manager.io/v1 kind: ClusterIssuer metadata: name: my-c...
我有一个允许白标的 Web 应用程序,用户可以在其中添加他们的域、转发 DNS 并在加载用户域时加载它的应用程序。 我正在使用技术将 ingress nginx 转发到我的应用程序catchAll。这是 ingress.yml apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: linkfy-frontend-ingress namespace: linkfy annotations: cert-manager.io/cluster-issuer: letsencr...
我有一个使用 安装和管理的 kubernetes 集群kubeadm。kubeadm管理所有集群证书的 CA,因此在为操作员身份验证创建证书时,这就是(我假设)所使用的 CA。 我不需要手动创建和轮换这些证书来访问集群,是否有一个好的方法可以帮助cert-manager我管理这些证书? 我目前起草的解决方案是将 CA 证书和密钥加载kubeadm到 kubernetes 机密中,创建一个cert-manager发行者以使用 CA,引用机密,然后使用该发行者创建证书。这是推荐的方法吗? ...
在aks集群中,我安装的helm chart: 图表来自关联 入口处图表我用了 helm repo add jetstack https://charts.jetstack.io helm repo update helm upgrade --install \ cert-manager jetstack/cert-manager \ --namespace cert-manager \ --set ingressShim.defaultIssuerName=letsencrypt-prod \ --set ingressShim.defaultIssu...
我在 Kubernetes 集群上有一个由 cert-manager 管理的证书。它以前是通过 HTTP01 ACME 质询来更新/验证的,但由于安全限制(防火墙),现在不再可能了。我必须切换到 DNS01 ACME 质询(Cloudflare)。 我想我必须将我为此创建的发行者更改为letsencrypt-prod...letsencrypt-prod-cloudflare但我不能。我尝试过,kubectl patch但kubectl edit没有成功: 前: $ kubectl get certificates.cert-manager.io tls-c...
我正在使用 cert-manager 和 EKS 集群为我的 ALB 生成 Lets Encrypt 证书。虽然证书生成得很好,但 Ingress 找不到它,无法启动 ALB,并出现错误 Failed build model due to ingress: prod/prod-ingress: no certificate found for host: *.domain.com 这是证书 apiVersion: cert-manager.io/v1 kind: Certificate metadata: name: letsencrypt-stagi...
我需要导入CRL 文件到 Bastion 服务器不是我的环境域的一部分。CRL 文件每隔几天更新一次,因此需要将新副本导入本地证书存储经常出现在堡垒上。 我注意到当我做新鲜进口的新的 CRL旧副本不是被覆盖或删除时,刚刚添加新副本添加到列表中。我想运行一个脚本,首先删除旧的 CRL 文件在里面受信任的根 CA 和中间 CA CRL店铺。 我还没有找到使用以下方法删除过期/过期的 CRL证书管理器,证书实用程序或者电源外壳我需要一种方法来脚本这就是它的自动化。有人找到办法了吗?任何帮助我都会很感激! ...
我正在使用cert-manager此自定义通配符证书 apiVersion: cert-manager.io/v1 kind: ClusterIssuer metadata: name: letsencrypt-myapp-issuer spec: acme: server: https://acme-v02.api.letsencrypt.org/directory email: [email protected] # CHANGE-ME privateKeySecretRef: name: wildc...
我们正在使用 GCP 和 Cloud DNS 来管理我们的域,并且我正在尝试解决以下用例: 对于数据库之类的内容拥有私人记录,这些记录只能在公司网络(我们的 VPC)内解析。 使用私有 IP 覆盖公共记录,以便在公司网络内进行替代路由。 能够发出 DNS01 质询并在我们的网络内公开解析记录。我们需要此功能是因为 cert-manager 的工作方式(我们使用它通过 letsencrypt 颁发证书)。 我曾尝试使用公共和私有区域(又名分割水平 DNS)来解决这个问题,但是,这个解决方案只能解决用例 1 和 2。并且,只有当我们确保私有区域拥有公共区域中...
我继承了一个 GKE Kubernetes 环境,并且几天来一直在尝试解决这个问题,但不幸的是,我不知道下一步该尝试什么。 集群设置为使用 cert-manager(通过 helm 安装)将 Let's Encrypt 证书应用于集群。出于某种原因,这在两年多的时间里一直运行良好,但从 4 月 16 日开始,我开始在浏览器中看到有关集群所有节点的 SSL 警告。 当我运行时,kubectl describe certificates site-cloud-tls证书似乎已经更新但尚未应用于入口流量。 Name: site-cloud-tls ...
我有一个自托管的 Kubernetes 集群,其中有一个 Nginx Ingress。Cert-manager 也在集群上运行,我尝试使用 Letsencrypt 获取有效的 SSL 证书。一切正常,我获得了 example.com 的有效证书,www.example.com或 app1.example.com,但不是通用通配符 *.example.com。如果我尝试以任何方式在 sec.tls.hosts 下的入口处输入通配符,则不会为我生成证书。我得到的输出为 kubectl get certificate NAME READ...
瓦祖kubernetes 安装说明使用自签名证书。 有没有办法可以改用 cert-manager/LetsEncrypt 证书? ...
我在使用 rapberry pi kubernetes 时遇到了问题 问题: 由于在裸机 kubernetes 安装上出现 401 错误代码,因此我需要等待 cert-manager letsencrypt ACME 挑战。 设置 平台:Raspberry Pi 4 操作系统:Ubuntu Server 20.04.3 LTS 64 位 入口:Nginx 负载均衡器:Metallb 网络:Calico 我使用以下方式通过 helm 安装了 metallb 和 nginx: helm install metallb metallb/metallb --name...