问题标签 [acme]

我正在使用https://github.com/fszlin/certes生成 SSL PEM 文件和私钥，但在整个过程中，我似乎看不到从哪里获得证书到期日期（或者即使它在那里）。我找到了从现在起 7 天后的订单到期日。有谁知道它是否是我可以通过某种方法提取的属性，或者稍后读取 PEM 以从那里获取数据？我知道一旦安装了证书，我就可以从 https url 获取它，或者只是简单地将 90 天添加到创建日期，但是在创建过程中以某种形式从证书本身获取它会很方便。

We are using Cert-manager to manage the tls certifications for a website. The website's certificate expired yesterday, I tried to investigate why cert-manager was not doing its job.

I have checked the details of certificate fakename-io-cert, looks like cert-manager tried to renew the cert one month ago?:

The following are the information of other related resources, such as certificaterequests, certificates, secrets:

And then the ClusterIssuer:

Anyone has any idea of why this is not working?

UPDATE: The following logs are found in cert-manager's logs:

我正在使用 ZeroSSL 帐户来创建 ACME 证书。我能够从 ZeroSSL 获取 EAB 凭据，并将其添加到 ClusterIssuer。

发行者在集群中设置成功。这里没有问题。

接下来，当我使用我的 CSR 创建 CertificateRequest 时，它永远不会进入就绪状态。即使我可以看到在 ZeroSSL 上创建了证书，我也无法在 cert-manager 中看到 CeritificateRequest 已准备好。

这是在 CertificateRequest 中：

这在日志中

我还能够在 Route53 中看到并创建了 ACME 记录。

*这是我在订单描述中看到的：

*这是我在挑战中设置观察者的时候

*这是我在订单上设置观察者的时候：

同时 cert-manager 尝试生成/检索证书，我可以看到它在 ZeroSSL 中创建了大约 4 个证书。可以从 ZeroSSL 下载证书，而且看起来不错。

但是我无法从 ZeroSSL 手动下载证书，因为我依靠我的应用程序代码从 cert-manager 获取证书。

我正在使用 fszlin/certes 生成 LE 证书。

我已经从 Lets Encrypt 下载了最新的暂存发行者 PEM，并将其转换为 Base64 字符串。

但是，当我尝试添加使用时：

并“构建” PFX，我收到一个错误：

“找不到颁发者 'C=US,O=(STAGING) Internet Security Research Group,CN=(STAGING) Doctored Durian Root CA X3' 证书 'C=US,O=(STAGING) Let's Encrypt,CN=(STAGING) ) 人造杏 R3'。”

这个 PEM 是否必须以某种特殊的方式进行编码才能使 pfxbuilder 正确构建并且不返回此错误？

我已经从第三方下载了一个编码版本（.cer），但是，我想使用 LetsEncrypt 的 PEM，所以，如果 LE 再次更改它，代码设置为在没有任何第三方的情况下进行转换当事人。

我也试过

之前

结果相同。

我可能会错过什么？TIA

我正在按照教程使用 traefik 作为 Azure Kubernetes 服务 (AKS) 集群的入口和入口控制器。我正在使用 terraform 部署 traefik（版本 1.7.24）掌舵图。

DNS 记录正确指向 AKS 负载均衡器 IP。

当我检查 traefik 日志时，我可以看到“tls-alpn-01”挑战失败并出现以下错误：

完整日志如下：

我什至在 AKS LoadBalancer NSG（防火墙）中添加了“AllowAll”规则。但是 tls-alpn-01 验证仍然面临超时错误。没有生成 ssl 证书，我的网站使用的是默认的 example.com 过期 ssl 证书。

我可以确认 telnet 到 mydomain.tld 的 443 端口也可以正常工作。

PS：我不想对 ssl 证书使用“dns-01”挑战，因为 dns 提供商没有让我们加密的 API。我不能使用“http-01”，因为这些是没有任何 Web 服务器的后端服务器。

任何帮助深表感谢。我也想知道 tls-alpn-01 挑战是如何运作的。

我希望使用可以通过 ACME 签署证书的中间 CA。我们有许多无法在 Internet 上访问的内部 Web 服务器，它们使用 SSL，所有这些都需要手动管理。我们已经有一个内部 CA，CA 授权安装在所有内部机器上。我希望使用现有机构提供的证书安装步骤 CA，然后它可以使用 ACME 来签署证书（所有服务器都在 DNS 中，并且这个 DNS 是内部管理的，所以 DNS 名称检查是有效的检查） .

我可以得到大部分的方法，但似乎 set-ca 总是为服务的 ACME 部分使用自签名证书，所以当 certbot 或任何连接到 ACME 服务时，它只会因为自签名而生成证书错误它用于通信（即使它最终会发布一个可以验证的）。

有没有人有解决这个问题的经验？我可以在所有相关服务器上安装自签名证书，但是如果我必须每 6 个月在许多机器上手动更新一次证书，我可能会保留使用 ACME按照目前的流程。

我遇到这个错误。

以下是 terraform 证书创建的片段。

我创建了我的天蓝色帐户，DNS 区域是使用名称中的 txt 质询创建的。(_acme-challenge.domain.westus2.cloudapp.azure.com)

我不知道为什么它阅读westus2.cloudapp.azure.com而不是完整的域。

在此先感谢您的帮助！

我正在尝试通过cert-manager使用 HTTP 质询验证为我的 Kubernetes 集群颁发证书。但是，出于某种原因，挑战订单正在尝试使用dns-01未配置的验证者。

我试图找出不同的配置，cert-manager再次删除和安装，但没有任何帮助。它在其他 ACME 客户端上工作。

我正在使用cert-manager v1.2.0.

这是我ClusterIssuer的http-01求解器：

这是我要颁发的证书：

我收到以下错误：

我不明白为什么dns-01应该http-01根据ClusterIssuer设置挑战类型。

如何为 Vault Pki 颁发的证书添加中间证书？

我正在配置一个 kubernetes 保险库集群证书颁发者。

使用 Let's Encrypts 时，acme 颁发者域证书包括所有中间证书链。

但是 v1/pki_int/sign/example-dot-com 不这样做。

我们如何使用 rabbitmq 自动化证书管理及其分发？是否有任何用于创建自我管理 CA 和证书管理以在 Rabbit MQ 中启用相互身份验证的开源解决方案