问题标签 [acme]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
0 回答
251 浏览

ssl - 读取 SSL PEM 生成的文件以获取证书到期日期

我正在使用https://github.com/fszlin/certes生成 SSL PEM 文件和私钥,但在整个过程中,我似乎看不到从哪里获得证书到期日期(或者即使它在那里)。我找到了从现在起 7 天后的订单到期日。有谁知道它是否是我可以通过某种方法提取的属性,或者稍后读取 PEM 以从那里获取数据?我知道一旦安装了证书,我就可以从 https url 获取它,或者只是简单地将 90 天添加到创建日期,但是在创建过程中以某种形式从证书本身获取它会很方便。

0 投票
0 回答
857 浏览

kubernetes - Cert-Manager: renewing dns01 certificate not working

We are using Cert-manager to manage the tls certifications for a website. The website's certificate expired yesterday, I tried to investigate why cert-manager was not doing its job.

I have checked the details of certificate fakename-io-cert, looks like cert-manager tried to renew the cert one month ago?:

The following are the information of other related resources, such as certificaterequests, certificates, secrets:

And then the ClusterIssuer:

Anyone has any idea of why this is not working?

UPDATE: The following logs are found in cert-manager's logs:

0 投票
0 回答
934 浏览

ssl - 使用 ZeroSSL 的 cert-manager 创建多个订单,即使之前的订单已准备好

我正在使用 ZeroSSL 帐户来创建 ACME 证书。我能够从 ZeroSSL 获取 EAB 凭据,并将其添加到 ClusterIssuer。

发行者在集群中设置成功。这里没有问题。

接下来,当我使用我的 CSR 创建 CertificateRequest 时,它永远不会进入就绪状态。即使我可以看到在 ZeroSSL 上创建了证书,我也无法在 cert-manager 中看到 CeritificateRequest 已准备好。

这是在 CertificateRequest 中:

这在日志中

我还能够在 Route53 中看到并创建了 ACME 记录。

*这是我在订单描述中看到的:

*这是我在挑战中设置观察者的时候

*这是我在订单上设置观察者的时候:

同时 cert-manager 尝试生成/检索证书,我可以看到它在 ZeroSSL 中创建了大约 4 个证书。可以从 ZeroSSL 下载证书,而且看起来不错。

但是我无法从 ZeroSSL 手动下载证书,因为我依靠我的应用程序代码从 cert-manager 获取证书。

0 投票
1 回答
313 浏览

c# - Letsencrypt Stage PEM 与 fszlin/certes

我正在使用 fszlin/certes 生成 LE 证书。

我已经从 Lets Encrypt 下载了最新的暂存发行者 PEM,并将其转换为 Base64 字符串。

但是,当我尝试添加使用时:

并“构建” PFX,我收到一个错误:

“找不到颁发者 'C=US,O=(STAGING) Internet Security Research Group,CN=(STAGING) Doctored Durian Root CA X3' 证书 'C=US,O=(STAGING) Let's Encrypt,CN=(STAGING) ) 人造杏 R3'。”

这个 PEM 是否必须以某种特殊的方式进行编码才能使 pfxbuilder 正确构建并且不返回此错误?

我已经从第三方下载了一个编码版本(.cer),但是,我想使用 LetsEncrypt 的 PEM,所以,如果 LE 再次更改它,代码设置为在没有任何第三方的情况下进行转换当事人。

我也试过

之前

结果相同。

我可能会错过什么?TIA

0 投票
0 回答
736 浏览

ssl - 当使用“tls-alpn-01”挑战让我们使用 traefik 加密 kubernetes 中的证书时,我得到“acme:错误:连接期间 400 超时”

我正在按照教程使用 traefik 作为 Azure Kubernetes 服务 (AKS) 集群的入口和入口控制器。我正在使用 terraform 部署 traefik(版本 1.7.24)掌舵图。

DNS 记录正确指向 AKS 负载均衡器 IP。

当我检查 traefik 日志时,我可以看到“tls-alpn-01”挑战失败并出现以下错误:

完整日志如下:

我什至在 AKS LoadBalancer NSG(防火墙)中添加了“AllowAll”规则。但是 tls-alpn-01 验证仍然面临超时错误。没有生成 ssl 证书,我的网站使用的是默认的 example.com 过期 ssl 证书。

我可以确认 telnet 到 mydomain.tld 的 443 端口也可以正常工作。

PS:我不想对 ssl 证书使用“dns-01”挑战,因为 dns 提供商没有让我们加密的 API。我不能使用“http-01”,因为这些是没有任何 Web 服务器的后端服务器。

任何帮助深表感谢。我也想知道 tls-alpn-01 挑战是如何运作的。

0 投票
2 回答
310 浏览

acme - 使用 step-ca 作为中间 ca,并带有父 CA 提供的证书

我希望使用可以通过 ACME 签署证书的中间 CA。我们有许多无法在 Internet 上访问的内部 Web 服务器,它们使用 SSL,所有这些都需要手动管理。我们已经有一个内部 CA,CA 授权安装在所有内部机器上。我希望使用现有机构提供的证书安装步骤 CA,然后它可以使用 ACME 来签署证书(所有服务器都在 DNS 中,并且这个 DNS 是内部管理的,所以 DNS 名称检查是有效的检查) .

我可以得到大部分的方法,但似乎 set-ca 总是为服务的 ACME 部分使用自签名证书,所以当 certbot 或任何连接到 ACME 服务时,它只会因为自签名而生成证书错误它用于通信(即使它最终会发布一个可以验证的)。

有没有人有解决这个问题的经验?我可以在所有相关服务器上安装自签名证书,但是如果我必须每 6 个月在许多机器上手动更新一次证书,我可能会保留使用 ACME按照目前的流程。

0 投票
0 回答
137 浏览

azure - acme:呈现令牌时出错(使用 Terraform 运行时出错)。找不到资源

我遇到这个错误。

以下是 terraform 证书创建的片段。

我创建了我的天蓝色帐户,DNS 区域是使用名称中的 txt 质询创建的。(_acme-challenge.domain.westus2.cloudapp.azure.com)

我不知道为什么它阅读westus2.cloudapp.azure.com而不是完整的域。

在此先感谢您的帮助!

0 投票
0 回答
227 浏览

kubernetes - cert-manager 正在尝试使用 dns-01 而不是 https-01 解析器

我正在尝试通过cert-manager使用 HTTP 质询验证为我的 Kubernetes 集群颁发证书。但是,出于某种原因,挑战订单正在尝试使用dns-01未配置的验证者。

我试图找出不同的配置,cert-manager再次删除和安装,但没有任何帮助。它在其他 ACME 客户端上工作。

我正在使用cert-manager v1.2.0.

这是我ClusterIssuerhttp-01求解器:

这是我要颁发的证书:

我收到以下错误:

我不明白为什么dns-01应该http-01根据ClusterIssuer设置挑战类型。

0 投票
0 回答
73 浏览

kubernetes - Vault 颁发者证书不包括中间链

如何为 Vault Pki 颁发的证书添加中间证书?

我正在配置一个 kubernetes 保险库集群证书颁发者。

使用 Let's Encrypts 时,acme 颁发者域证书包括所有中间证书链。

但是 v1/pki_int/sign/example-dot-com 不这样做。

0 投票
0 回答
21 浏览

rabbitmq - rabbit mq auth 后端的证书管理和使用

我们如何使用 rabbitmq 自动化证书管理及其分发?是否有任何用于创建自我管理 CA 和证书管理以在 Rabbit MQ 中启用相互身份验证的开源解决方案