【k8s使用cert-manager自动签发Lets Encrypt证书】

最新推荐文章于 2025-06-02 09:03:56 发布
原创 最新推荐文章于 2025-06-02 09:03:56 发布 · 375 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #容器 #云原生

配置步骤

  1. 安装cert-manager

    注意镜像版本

     kubectl apply -f https://github.com/cert-manager/cert-manager/releases/download/v1.17.0/cert-manager.yaml

  2. 创建route53-secret

    我的域名在aws上,所以需要配置aws的secret

     kubectl create secret generic route53-secret   --from-literal=access-key-id="xxxxxxxxxxxxxxxx"   --from-literal=secret-access-key="xxxxxxxxxxxxxxxxxxxxxxxx"   --namespace cert-manager

  3. 创建ClusterIssuer连接证书颁发机构Lets Encrypt

     apiVersion: cert-manager.io/v1
 kind: ClusterIssuer
 metadata:
   name: letsencrypt-prod
 spec:
   acme:
     email: your@email.com    #改成自己的邮箱地址,主要用来提示证书过期
     server: https://acme-v02.api.letsencrypt.org/directory
     privateKeySecretRef:
       name: letsencrypt-prod-private-key
     solvers:
       - dns01:
           route53:
             region: us-east-1  # 你的 AWS 区域,随便填就行,不填会报错
             accessKeyIDSecretRef:
               name: route53-secret
               key: access-key-id
             secretAccessKeySecretRef:
               name: route53-secret
               key: secret-access-key

  4. 创建证书

     apiVersion: cert-manager.io/v1
 kind: Certificate
 metadata:
   name: test-certificate
   namespace: prod
 spec:
   secretName: smh-tls-secret
   issuerRef:
     name: letsencrypt-prod
     kind: ClusterIssuer
   dnsNames:
     - yourdomain       #自己的域名

    查看certificate状态是否为true

     kubectl get certificate -A

  5. 配置ingress

     apiVersion: networking.k8s.io/v1
 kind: Ingress
 metadata:
   name: your-ingress
   namespace: default
   annotations:
     # 这里可以加入 cert-manager 或阿里云 ingress 的其他注解
 spec:
   tls:
   - hosts:
     - yourdomain     #自己的域名
     secretName: smh-tls-secret
   rules:
   - host: yourdomain     #自己的域名
     http:
       paths:
       - path: /
         pathType: Prefix
         backend:
           service:
             name: your-service
             port:
               number: 80

回滚

  1. ClusterIssuer颁发的证书和证书请求:

     kubectl delete certificate --all -n amespace
 kubectl delete certificaterequest --all -n amespace

  2. Let’s Encrypt 颁发证书时创建的订单和挑战:

     kubectl delete order --all -n amespace
 kubectl delete challenge --all -n namespace

  3. 删除 ClusterIssuer

     kubectl delete clusterissuer letsencrypt-prod

  4. 删除 Secret

     kubectl delete secret letsencrypt-prod-private-key -n cert-manager
 kubectl delete secret route53-secret -n cert-manager

问题:

  1. cert-manager日志显示:only one of access and secret key was provided:

    是因为ClusterIssuer中只配置了一个secretAccessKeySecretRef参数,修改后可能又会发现无法创建,类似于“ unknown field “spec.acme.solvers[0].dns01.route53.accessKeyIDSecretRef” ”这样的报错,这是因为cert-manager的版本太老,没有这个参数,需要升级版本,目前最新的是v1.17.0

k8s使用cert-manager生成自签名证书
mengting2040的博客
07-08 586
k8s使用cert-manager生成自签名证书
k8s中级篇-cert-manager+Let‘s Encrypt自动证书签发
mldong的博客
05-12 6220
前言 说到免费的SSL证书,大家首先想到的肯定是Let’s Encrypt,而使用过Let’s Encrypt的同学应该也知道,其有效期只有三个月,三个月后要重新续期。github上也有类似的脚本可以做到自动续期。那如果是在k8s使用该免费证书,又如何操作的呢?这里cert-manager就派上用场了。 环境 主机名 ip 角色 mldong01 192.168.0.245 master mldong02 192.168.0.54 node01 mldong03 192.168.0
linux-一个KubernetesLetsEncrypt证书管理器
08-13
一个Kubernetes的 Let's Encrypt 证书管理器
K8sKubernetes 证书管理工具 Cert-Manager
运维、实施交付领域知识交流
10-22 2603
Cert-Manager 概念介绍 ,以及在 Kubernetes 下的部署、使用
Kubespray 中使用 cert-manager 实现 Kubernetes 证书管理全指南
最新发布
gitblog_00095的博客
06-02 307
Kubespray 中使用 cert-manager 实现 Kubernetes 证书管理全指南 前言 在 Kubernetes 生产环境中,证书管理是一个关键但复杂的安全需求。本文将详细介绍如何在 Kubespray 部署的 Kubernetes 集群中集成 cert-manager,实现自动证书管理。 cert-manager 简介 cert-managerKubernetes 原生的...
k8s-证书管理之cert-manager自动生成证书
zerotoall的博客
04-24 1338
cert-manager是基于ACME协议与Let's Encrypt签发免费证书自动续期,实现永久免费使用证书Kubernetes提供了基于CA签名的双向数字证书认证方式和简单的基于HTTP Base或Token的认证方式,其中CA证书方式的安全性最高。
K8s使用 cert-manager 申请免费 Https 证书
dotNET跨平台
01-22 1851
K8s使用 cert-manager 申请免费 Https 证书Intro最近在尝试将自己的应用从自己用 kind 部署的一个 k8s 集群迁移到 Azure 的 AKS 上,其中一个...
K8S使用cert-manager申请cloudflare证书
尹曦的博客
07-27 839
3、创建cloudflare-api-token-secret。4、创建cluster-issuer.yaml。8、如果状态Ready不是True需要查看原因。2、使用helm安装cert-manager。注意给api编辑DNS的权限。5、创建cert.yaml。7、查看证书申请状态。
cert-manager + Let‘s Encrypt + DNS 实现基于K8S的https证书自动签发
StarsL
11-02 681
通过创建Certificate资源来告知cert-manager :在哪个namespace生成证书、需要签发的域名的证书名称,域名对应的secret资源,以及的引用ClusterIssuer或者Issuer资源等等信息。创建ClusterIssuer或者Issuer资源用于创建颁发者,决定cert-manager签发证书的方式,然后会在cert-manager上的namespace下生成该颁发者的secret用于证书申请的准备。
k8scert-manager管理https证书
椰汁菠萝
02-02 1319
目前https是刚需,但证书又很贵,虽然阿里云有免费的,但没有泛域名证书,每有一个子域名就要申请一个证书,有效期1年,1年一到全都的更换,太麻烦了。经过搜索,发现了自动更新证书神器;当然cert-manager是基于k8s的。
K8S集群安装cert-manager
cheetahsun的博客
05-19 597
12.ingress中添加注解及证书名称(这种方式因为签发证书需要1分钟左右,中间可能出现一段时间的不安全,还有一种方式是先生成证书,然后在ingress上直接替换或者添加证书,更适合生产环境)spec.issuerRef.name 我们创建的签发机构的名称 (ClusterIssuer.metadata.name)注解:cert-manager.io/cluster-issuer: aliyundns-acme。spec.dnsNames 指示该证书的可以用于哪些域名,与域名解析的一致。
K8S集群申请Let‘s Encrypt证书
pleong的博客
05-24 1067
K8S集群中部署cert-manager并申请Let's Encrypt证书,或者不依赖于K8S集群,直接安装certbot申请证书
k8s中安装rancher,使用cert-manger对证书进行管理
xunianchong的专栏
04-26 698
该域名非真实域名,访问rancher时,在本地hosts中配置k8s的节点ip,这样就可以通过域名访问rancher了。使用cert对https证书进行管理 ,不用自己生成ssl证书,建议在内网环境访问rancher。
k8s证书管理工具Cert-Manager介绍
学亮编程手记
11-07 386
例如,您可以定义一个Issuer或ClusterIssuer对象,配置证书颁发机构的详细信息,然后在Ingress或其他资源上指定这个Issuer,Cert-Manager将负责自动创建和管理相应的证书。它可以自动处理证书的生成和更新,确保您的应用程序始终使用有效的证书,并提供HTTPS安全连接。总结起来,Cert-Manager是一个帮助您在Kubernetes自动化管理证书的工具,它让您更轻松地使用和维护SSL/TLS证书,从而提高应用程序的安全性和可靠性。
k8s使用cert-manager部署gitlab集群
最美dee时光的博客
12-26 1805
写在前面的话:前面有详细的分享过,不过当时使用gitlab的访问证书是阿里云上免费的ssl证书,今天特意专门介绍下另外一种基于cert-manager发布自签证书的方式实现部署gitlab到k8s集群中。
阿里云K8S集群部署cert-manager
cheetahsun的博客
04-15 387
关于cert-managerKubernetes版本的对应关系,请参见。4.cert-manager命名空间下创建域名托管平台cloudflare的apikey(界面或者yaml文件都可以)name: letsencrypt-prod-account-key #存储私钥的名称。5.cert-manager命名空间下创建ClusterIssuer对应的yaml文件。2.执行以下命令,获取cert-manager Chart的最新信息。1.执行以下命令,添加cert-manager Chart。
k8s部署cert-manager实现证书自动
weixin_44692256的博客
08-28 3999
cert-manager 是一个云原生证书管理开源项目,用于在 Kubernetes 集群中提供 HTTPS 证书自动续期,支持 Let’s Encrypt, HashiCorp Vault 这些免费证书签发。在Kubernetes集群中,我们可以通过 Kubernetes Ingress 和 Let’s Encrypt 实现外部服务的自动化 HTTPS。 前言 在Kubernetes集群中使用HTTPS协议,需要一个证书管理器、一个证书自动签发服务,主要通过Ingress来发布HTTPS服务,因此需要
k8s 使用cert-manager证书管理自签
weixin_42562106的博客
01-20 1200
metadata:spec:tls:- hosts:rules:http:paths:- path: /backend:service:port:http:paths:- path: /backend:service:port:最后访问。
k8s1.18.20:cert-manager 1.8 安装部署
那个那个
07-19 1194
cert-managerKubernetes 集群中增加了证书 (certificates) 和证书颁发者 (certificate issuers) 作为资源类型,并简化了获取、更新和应用这些证书的过程。它能够从各种反对的起源签发证书,包含 Let’s Encrypt、HashiCorp Vault 和 Venafi 以及私人 PKI。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

dmonstererer

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值