2

我在 Google Cloud 上使用 Cloud Run for Anthos 制作了一项服务,SSL 证书是由 Let's Encrypt 制作的。我想在无服务器上自动更新证书,而不是在 GCE 上。

我怎样才能做到这一点?

我可以在 GKE 上使用 cronJob 吗?

我只是在笔记本电脑上手动创建了证书。

sudo certbot certonly --manual --preferred-challenges dns -d '*.default.domain'
sudo kubectl create --namespace istio-system secret tls istio-ingressgateway-certs \
--key /etc/letsencrypt/live/default.domain/privkey.pem \
--cert /etc/letsencrypt/live/default.domain/fullchain.pem
4

1 回答 1

0

除非您保存了用于签署原始 CSR 的私钥,并且您能够使用 TXT DNS 质询修改域的名称服务器,否则无法续订使用 DNS 验证手动创建的 Let's Encrypt 证书。

我不知道有任何应用程序接受预先创建的 SSL 证书。通常,这些应用程序从一无所有开始并设置所有内容。

我建议安装 Cert-Manager 并重新颁发您的 SSL 证书并设置自动续订。

但是,您声明要执行此“无服务器”。互联网上有很多通过 DNS 质询创建 Let's Encrypt SSL 证书的示例。但是,我还没有看到一个也处理续订的。这里没有技术问题,您只需要一个插件,用正确的 TXT 记录修改您的名称服务器。如果您了解 ACME 界面,您可以开发自己的软件。否则,我会使用 Kubernetes Cert-Manager 或其他受支持的软件包。

于 2019-10-09T05:59:20.433 回答