我正在尝试根据the instructions here为新的AKS部署使用TLS和自动配置的证书设置入口。
我最初配置了所有这一切,但是未能获得分配给LB的静态IP地址,因为我使用了较旧的脚本来创建具有错误SKU的IP地址。固定IP地址后,我尝试使用生产服务器重新创建集群发行者,入口和证书,但没有成功。我从以下kubectl命令按顺序看到的错误:
kubectl describe order ao-tls-secret-12341234-12341234
原因:无法最终确定订单:400 urn:ietf:params:acme:error:畸形的:错误确定订单:: 证书公用密钥必须与帐户密钥不同
我试图切换到letsencrypt登台服务器,并立即收到了证书。切换回生产服务器,它再次挂起。
答案 0 :(得分:1)
如错误所述,您不应该对Let's Encrypt帐户私钥(由issuer.spec.acme.privateKeySecretRef引用的密钥)以及证书的实际证书(ingress.spec)使用相同的secretName。 tls []。secretName)。
通常,您将您的帐户私钥命名为更类似于letsencrypt-staging-private-key的名称,并将您的入口证书命名为类似于您现在所拥有的名称(例如vs-portal-tls-secret)。 / p>
颁发者私钥用于在ACME服务器上标识您的ACME帐户,与用于提供服务的私钥无关。