如何为服务结构创建受信任的CA签名证书

时间:2019-01-23 01:34:11

标签: azure-service-fabric x509certificate

所有关于Service Fabric的文档都提到对于生产群集,应使用来自受信任CA的X509证书,并使用群集地址的通用名称。问题是我在获取证书的过程中找不到任何文档。据我所知,要创建证书,您需要证明自己是您的真实身份,并且需要拥有域名或在指定地址上公开某种文件。

问题在于群集的URL在Microsoft拥有的域上,而我的群集没有作为网站暴露给外界。我想念什么吗?我是否必须创建一个Web服务并公开它才能创建证书?

1 个答案:

答案 0 :(得分:0)

您可以使用Letsencrypt之类的任何免费解决方案,因此不需要拥有该域(具体来说,就是控制DNS记录)。它们还提供了对HTTP based challenge进行响应的选项,以此作为控制的证明。

  

为启动该过程,代理会询问Let's Encrypt CA   需要做的是证明它控制example.com。让我们   加密CA将查看请求的域名并发出一个   或更多挑战。这些是代理商的不同方式   可以证明对域的控制。例如,CA可能会给   代理选择以下任一种:在example.com下设置DNS记录,   或在以下位置的知名URI下配置HTTP资源   https://example.com/

使用CertBot是Letsencrypt入门的简单方法。 这需要在域上运行,因此它可以响应HTTP挑战,从而为您的特定群集终结点颁发证书。

也许这个sample project有帮助。