我遵循了 DigitalOcean 指南 https://www.digitalocean.com/community/tutorials/how-to-set-up-an-nginx-ingress-with-cert-manager-on-digitalocean-kubernetes,但遇到了一些非常奇怪的事情。当我在主机名中设置通配符时,letsencrypt 无法颁发新证书。而当我只设置定义的子域时,它就可以完美运行。
这是我对域及其 api 的“工作”配置(这个配置完美):
apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
name: my-ingress
annotations:
cert-manager.io/cluster-issuer: "letsencrypt-staging"
spec:
tls:
- hosts:
- example.com
- api.example.com
secretName: my-tls
rules:
- host: example.com
http:
paths:
- backend:
serviceName: example-frontend
servicePort: 80
- host: api.example.com
http:
paths:
- backend:
serviceName: example-api
servicePort: 80
相反,这是我尝试颁发的通配符证书,但这并没有留下“正在颁发”消息。
apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
name: my-ingress
annotations:
cert-manager.io/cluster-issuer: "letsencrypt-staging"
spec:
tls:
- hosts:
- example.com
- *.example.com
secretName: my-tls
rules:
- host: example.com
http:
paths:
- backend:
serviceName: example-frontend
servicePort: 80
- host: api.example.com
http:
paths:
- backend:
serviceName: example-api
servicePort: 80
唯一的区别是主机的第二行。是否有我不知道的微不足道的众所周知的解决方案?我是 Kubernetes 的新手,但不是 DevOps 的新手。
答案 0 :(得分:2)
使用 cert-manager (letsencrypt) 生成通配符证书需要使用 DNS-01 挑战而不是 HTTP-01 used in the link from the question:
是的。通配符发行必须通过 ACMEv2 使用 DNS-01 质询来完成。有关更多技术信息,请参阅 this post。
有一个关于使用 wildcard 生成 cert-manager 证书的文档:
从 DigialOcean 的角度来看,有一个专门针对它的指南:
<块引用>此提供程序使用 Kubernetes Secret 资源来工作。在下面的
例如,Secret 必须命名为 digitalocean-dns 并具有
带有令牌的子键 access-token。例如:
apiVersion: v1
kind: Secret
metadata:
name: digitalocean-dns
namespace: cert-manager
data:
# insert your DO access token here
access-token: "base64 encoded access-token here"
访问令牌必须具有写入权限。
要创建个人访问令牌,请参阅 DigitalOcean documentation。
方便的直接链接:https://cloud.digitalocean.com/account/api/tokens/new
要将您的访问令牌编码为 base64,您可以使用以下内容
echo -n 'your-access-token' | base64 -w 0
apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
name: example-issuer
spec:
acme:
...
solvers:
- dns01:
digitalocean:
tokenSecretRef:
name: digitalocean-dns
key: access-token
-- Cert-manager.io: Docs: Configuration: ACME: DNS-01: Digitalocean
我认为这些额外的资源也有帮助:
答案 1 :(得分:0)
通配符证书需要 DNS-01 方法
注意:您可能需要先在 DNS 中添加 CAA 记录。
CAA 记录可以添加到 DNS 区域
示例:
Type Value
devops.in CAA 0 issuewild "letsencrypt.org"
从以下位置获取详细信息:https://sslmate.com/caa/
首先,您必须使用命令创建用于存储 access key 的密钥
kubectl create secret generic route53-secret --from-literal=secret-access-key="skjdflk4598sf/dkfj490jdfg/dlfjk59lkj"
在这里分享示例issuer.yaml
apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
name: letsencrypt-prod
spec:
acme:
email: test123@gmail.com
server: https://acme-v02.api.letsencrypt.org/directory
privateKeySecretRef:
name: letsencrypt-prod
solvers:
- selector:
dnsZones:
- "devops.in"
dns01:
route53:
region: us-east-1
hostedZoneID: Z2152140EXAMPLE
accessKeyID: AKIA5A5D7EXAMPLE
secretAccessKeySecretRef:
name: route53-secret
key: secret-access-key
---
apiVersion: cert-manager.io/v1alpha2
kind: Certificate
metadata:
name: le-crt
spec:
secretName: tls-secret
issuerRef:
kind: Issuer
name: letsencrypt-prod
commonName: "*.devops.in"
dnsNames:
- "*.devops.in"
此外,请确保您的用户拥有管理 Route53
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "route53:GetChange",
"Resource": "arn:aws:route53:::change/*"
},
{
"Effect": "Allow",
"Action": "route53:ChangeResourceRecordSets",
"Resource": "arn:aws:route53:::hostedzone/*"
},
{
"Effect": "Allow",
"Action": "route53:ListHostedZonesByName",
"Resource": "*"
}
]
}