所有关于Service Fabric的文档都提到对于生产群集,应使用来自受信任CA的X509证书,并使用群集地址的通用名称。问题是我在获取证书的过程中找不到任何文档。据我所知,要创建证书,您需要证明自己是您的真实身份,并且需要拥有域名或在指定地址上公开某种文件。
问题在于群集的URL在Microsoft拥有的域上,而我的群集没有作为网站暴露给外界。我想念什么吗?我是否必须创建一个Web服务并公开它才能创建证书?
答案 0 :(得分:0)
您可以使用Letsencrypt之类的任何免费解决方案,因此不需要拥有该域(具体来说,就是控制DNS记录)。它们还提供了对HTTP based challenge进行响应的选项,以此作为控制的证明。
为启动该过程,代理会询问Let's Encrypt CA 需要做的是证明它控制example.com。让我们 加密CA将查看请求的域名并发出一个 或更多挑战。这些是代理商的不同方式 可以证明对域的控制。例如,CA可能会给 代理选择以下任一种:在example.com下设置DNS记录, 或在以下位置的知名URI下配置HTTP资源 https://example.com/
使用CertBot是Letsencrypt入门的简单方法。 这需要在域上运行,因此它可以响应HTTP挑战,从而为您的特定群集终结点颁发证书。
也许这个sample project有帮助。