2022.3.9 用 cert-manager 申请成功通配符证书 (*.ewhisper.cn), 2022.4.30 该证书距离过期还有 30 天,cert-manager 进行自动续期,但是却失败了。

然后过了几天,在 2022.5.8, 最终成功了。如下图:

正好借着这个情况捋一下 cert-manager 的 SSL 证书申请流程以及过程中涉及到的相关概念。

中英文对照表

英文 英文 - K8S CRD 中文 备注
certificates Certificate 证书 certificates.cert-manager.io/v1
certificate issuers Issuer 证书颁发者 issuers.cert-manager.io
ClusterIssuer 集群证书颁发者 clusterissuers.cert-manager.io
certificate request CertificateRequest 证书申请 certificaterequests.cert-manager.io
order Order (证书)订单 orders.acme.cert-manager.io
challenge Challenge (证书)挑战 challenges.acme.cert-manager.io
SelfSigned 自签名 cert-manager Issuer 的一种
CA 证书颁发机构 Certificate Authority 的缩写;
cert-manager Issuer 的一种
Vault 金库 cert-manager Issuer 的一种,即 Hashicorp Vault
Venafi Venafi 在线证书办理服务,目前用的不多。
External 外部 cert-manager Issuer 的一种
ACME 自动证书管理环境 Automated Certificate Management Environment 的缩写;
cert-manager Issuer, 包括 HTTP01 和 DNS01

Cert Manager 简介

cert-manager 在 Kubernetes 集群中添加了证书 (certificates) 和证书颁发者 (certificate issuers) 作为资源类型,并简化了获取、更新和使用这些证书的过程。

它可以从各种支持的来源签发证书,包括 Let's EncryptHashiCorp VaultVenafi 以及私人 PKI。

Notes:

常用的主流来源是:Let's Encrypt

它将确保证书是有效的和最新的,并试图在到期前的一个配置时间内更新证书。

Issuer(证书颁发者)

在安装了 cert-manager 之后,需要配置的第一件事是一个证书颁发者,然后你可以用它来签发证书。

cert-manager 带有一些内置的证书颁发者,它们被表示为在cert-manager.io组中。除了内置类型外,你还可以安装外部证书颁发者。内置和外部证书颁发者的待遇是一样的,配置也类似。

有以下几种证书颁发者类型:

  • 自签名 (SelfSigned)
  • CA(证书颁发机构)
  • Hashicorp Vault(金库)
  • Venafi (SaaS 服务)
  • External(外部)
  • ACME(自动证书管理环境)
    • HTTP01
    • DNS01

这里先不做详细介绍,目前我的环境有的证书颁发者示例如下:

SelfSigned

如下:

  1. apiVersion: cert-manager.io/v1
  2. kind: Issuer
  3. metadata:
  4.   annotations:
  5.     meta.helm.sh/release-name: cert-manager-webhook-dnspod
  6.     meta.helm.sh/release-namespace: cert-manager
  7.   labels:
  8.     app: cert-manager-webhook-dnspod
  9.     app.kubernetes.io/managed-by: Helm
  10.     chart: cert-manager-webhook-dnspod-1.2.0
  11.     heritage: Helm
  12.     release: cert-manager-webhook-dnspod
  13.   name: cert-manager-webhook-dnspod-selfsign
  14.   namespace: cert-manager
  15. status:
  16.   conditions:
  17.     - lastTransitionTime: '2022-03-01T13:38:53Z'
  18.       observedGeneration: 1
  19.       reason: IsReady
  20.       status: 'True'
  21.       type: Ready
  22. spec:
  23.   selfSigned: {}

ACME - HTTP01

如下:

  1. apiVersion: cert-manager.io/v1
  2. kind: Issuer
  3. metadata:
  4.   annotations:
  5.     meta.helm.sh/release-name: rancher
  6.     meta.helm.sh/release-namespace: cattle-system
  7.   generation: 2
  8.   labels:
  9.     app: rancher
  10.     app.kubernetes.io/managed-by: Helm
  11.     chart: rancher-2.6.4
  12.     heritage: Helm
  13.     release: rancher
  14.   name: rancher
  15.   namespace: cattle-system
  16. status:
  17.   acme: {}
  18.   conditions:
  19.     - lastTransitionTime: '2022-03-08T14:34:08Z'
  20.       message: The ACME account was registered with the ACME server
  21.       observedGeneration: 2
  22.       reason: ACMEAccountRegistered
  23.       status: 'True'
  24.       type: Ready
  25. spec:
  26.   acme:
  27.     preferredChain: ''
  28.     privateKeySecretRef:
  29.       name: letsencrypt-production
  30.     server: https://acme-v02.api.letsencrypt.org/directory
  31.     solvers:
  32.       - http01:
  33.           ingress: {}

ACME - DNS01

如下:

  1. apiVersion: cert-manager.io/v1
  2. kind: ClusterIssuer
  3. metadata:
  4.   annotations:
  5.     meta.helm.sh/release-name: cert-manager-webhook-dnspod
  6.     meta.helm.sh/release-namespace: cert-manager
  7.   labels:
  8.     app: cert-manager-webhook-dnspod
  9.     app.kubernetes.io/managed-by: Helm
  10.     chart: cert-manager-webhook-dnspod-1.2.0
  11.     heritage: Helm
  12.     release: cert-manager-webhook-dnspod
  13. status:
  14.   acme:
  15.     lastRegisteredEmail: cuikaidong@foxmail.com
  16.     uri: https://acme-v02.api.letsencrypt.org/acme/acct/431637010
  17.   conditions:
  18.     - lastTransitionTime: '2022-03-01T13:38:55Z'
  19.       message: The ACME account was registered with the ACME server
  20.       observedGeneration: 1
  21.       reason: ACMEAccountRegistered
  22.       status: 'True'
  23.       type: Ready
  24. spec:
  25.   acme:
  26.     email: cuikaidong@foxmail.com
  27.     preferredChain: ''
  28.     privateKeySecretRef:
  29.       name: cert-manager-webhook-dnspod-letsencrypt
  30.     server: https://acme-v02.api.letsencrypt.org/directory
  31.     solvers:
  32.       - dns01:
  33.           webhook:
  34.             config:
  35.               secretId: <my-secret-id>
  36.               secretKeyRef:
  37.                 key: secret-key
  38.                 name: cert-manager-webhook-dnspod-secret
  39.               ttl: 600
  40.             groupName: acme.imroc.cc
  41.             solverName: dnspod

接下来看看证书的申请流程.

系列文章

️ 参考文档

三人行, 必有我师; 知识共享, 天下为公. 本文由东风微鸣技术博客 EWhisper.cn 编写.

Cert Manager 申请 SSL 证书流程及相关概念 - 一的更多相关文章

  1. 【原创】免费申请SSL证书【用于HTTPS,即是把网站从HTTP改为HTTPS,加密传输数据,保护敏感数据】

    今天公司有个网站需要改用https访问,所以就用到SSL证书.由于沃通(以前我是在这里申请的)暂停了免费的SSL证书之后,其网站推荐了新的一个网站来申请证书,所以,今天因为刚好又要申请一个证书,所以, ...

  2. 阿里云申请ssl证书配置tomcat访问https

    首先去阿里云上面申请ssl证书,免费的,自己百度去. 申请完ok之后会让你下载一个压缩包,里面有四个文件. 在tomcat安装目录下创建cert文件夹,把这四个文件扔进去 在conf/server.x ...

  3. 使用acme.sh从Let's Encrypt申请SSL证书

    Let's Encrypt 简介 Let's Encrypt是一个于2015年三季度推出的数字证书认证机构,旨在以自动化流程消除手动创建和安装证书的复杂流程,并推广使万维网服务器的加密连接无所不在,为 ...

  4. 超详细网站博客域名和二级域名、子域名升级HTTPS免费申请SSL证书配置nginx指南

    随着互联网的飞速发展,我们的工作生活已经离不开互联网,HTTP虽然使用极为广泛, 但是存在不小的安全缺陷, 主要是其数据的明文传送和消息完整性检测的缺乏, 而这两点恰好是网络支付,网络交易等网站应用中 ...

  5. .io域名在申请SSL证书时被坑

    注:标题其实与最后内容不符,只是描述一个事实 - 遇到坑了,不代表观点 - io域名坑我. .io后缀的域名是英属印度洋领地的国别域名,由NIC.io(runby Internet Computer ...

  6. 申请ssl证书报提示caa提示

    申请ssl证书报下面提示caa提示,这和dns有关,换一组dns重新申请  send challenge err[acme error 'urn:acme:error:connection': DNS ...

  7. 腾讯云域名申请+ssl证书申请+springboot配置https

    阿里云域名申请 域名申请比较简单,使用微信注册阿里云账号并登陆,点击产品,选择域名注册 输入你想注册的域名 进入域名购买页面,搜索可用的后缀及价格,越热门的后缀(.com,.cn)越贵一般,并且很可能 ...

  8. 申请SSL证书

    1.为什么需要申请SSL证书呢? 因为之前公司网站是通过http访问的,现在要通过https方式访问,前面多了一个s,那就需要SSL证书,用https方式访问的,会加密用户上传和下载的数据,使访问更加 ...

  9. Linux服务系统申请SSL证书方法

    inux主要面向专业性较强的技术人员,如果是WEB站点通常采取PHP语言为主选,可选的服务器环境中有Apache.Nginx.Tomcat这几类为主的框架环境,有的图方便会用一些可视化一键式的控制面板 ...

  10. 阿里云申请SSL证书 并部署到SpringBoot项目

    前提 有一台阿里云的服务器(安装了java环境) 有已经备案的域名,并且域名绑定上面的服务器 申请SSL证书 申请教程:https://blog.csdn.net/yunweifun/article/ ...

随机推荐

  1. 什么是subsignature和return-type-substitutable

    subsignature 什么是签名(signature) 方法签名组成:方法名+参数列表(参数的类型.个数.顺序) Java语言层面规定的签名是不包含返回值类型的: JVM层面规定的签名是包含返回值 ...

  2. nrf9160做modem——测试连接阿里云

    简介:在前面有讲过如何使用nrf9160去连接一个云,然后进行发布订阅信息,但是当时连接的是一个免费的测试云,在国内的话许多人想要连接阿里云或者华为云,下面就来测试一下连接阿里云.这里为什么要和上一篇 ...

  3. 浅入浅出 1.7和1.8的 HashMap

    前言 HashMap 是我们最最最常用的东西了,它就是我们在大学中学习数据结构的时候,学到的哈希表这种数据结构.面试中,HashMap 的问题也是常客,现在卷到必须答出来了,是必须会的知识. 我在学习 ...

  4. VBA粗犷整理

    PART1: 三.查找 1.从某一行向上/下找到第一个不为空的行 intRowPntEnd = ActiveSheet.Cells(intRowPntStart, intColPnt).End(xlD ...

  5. LAL v0.32.0发布,更好的支持纯视频流

    Go语言流媒体开源项目 LAL 今天发布了v0.32.0版本.距离上个版本刚好一个月时间,LAL 依然保持着高效迭代的状态. LAL 项目地址:https://github.com/q19120177 ...

  6. 2022春每日一题:Day 16

    题目:不同子串个数 这题需要利用后缀数组求出的height的性质,我们发现对于每个后缀,他的height后的所有子串就是算在答案里,因此答案只需要求出n-height[i]-sa[i]+1的和就可以了 ...

  7. iOS逆向之某多多App抓包

    阅读此文档的过程中遇到任何问题,请关注公众号[移动端Android和iOS开发技术分享]或加QQ群[309580013] 1.目标 由于某多多App现使用longlink进行数据传输,使用charle ...

  8. [Android开发学iOS系列] TableView展现一个list

    TableView 基础 本文讲讲TableView的基本使用. 顺便介绍一下delegation. TableView用来做什么 TableView用来展示一个很长的list. 和Android中的 ...

  9. i春秋phone number

    点开题目是一个普普通通的登录注册界面,随便注册一个点进去有两个功能,一个是查看电话和你相同的用户,一个是登出. 点击查询就可以看到用户数 这里有访问数据库的操作应该,所以就应该用数据库注入来解题. 又 ...

  10. C++初阶(stack+queue)

    stack stack介绍 stack是一种先进后出的数据结构,只有一个出口,类似于栈.stack容器哦允许新增元素,移除元素,取得栈顶元素,但是除了最顶端之后,没有任何其他办法可以存取stack的其 ...