我有一个很基本的问题。很抱歉,我可能对此表示无知。我正在运行GKE,并使用大使作为我的API网关(作为我的入口控制器),并在大使中使用TLS终止。从本质上讲,我的公共密钥将与后端使用的密钥(HTTPS和GRPC)不同。
我希望面向公众的密钥看起来非常“合法”,而不是自签名的,但是我的后端证书肯定可以自签名。
<DumbQuestionTime>
- Does that mean that my public cert must come from a trusted CA (e.g. godaddy, verisign, etc)?
- Can cert-manager handling provisioning certs that won't look "self signed"?
- Can that same cert-manager be used for internal certificate provisioning within my microservices?
- Is this a normal setup?
</DumbQuestionTime>