问题标签 [cert-manager]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
ssl - K8S:无法使用 Issuer 和 acmedns 提供程序创建通配符 SSL
我尝试使用 k8s certmanager 和带有 acmedns acme 提供程序的颁发者创建通配符 SSL 证书。我已经通过 POST 请求 /register URL 创建了凭据,并成功测试了 acmedns。但是我无法使用 k8s 颁发者创建新的通配符 SSL 证书。我在下面添加我的发行人 YAML 文件,
我使用从 /register 输出获得的 json 输出创建了秘密 acme-dns。另外,在此处添加 k8s 证书 YAML
我从 cert-manager 收到以下错误:
ssl - 列出 *v1alpha1.Order 失败:orders.certmanager.k8s.io 被禁止
几个月前我配置了自动 SSL 证书管理,如下所述:http: //docs.cert-manager.io/en/latest/tutorials/acme/dns-validation.html
for domain: <myhost>.comand dev.<myhost>.com. 所以我有两个命名空间:prodfor<myhost>.com和
devfor dev.<myhost>.com。在每个命名空间中,我都有入口控制器和Certificate资源来将证书存储为机密。它工作正常并ClusterIssuer自动更新证书。
但是几天前我尝试添加新域:test.<myhost>.com在名称空间中,入口和证书的配置与或名称空间test中完全相同(期望主机名和名称空间):proddev
并且此配置不起作用:无法秘密找到证书,入口正在使用“app-ingress-fake-certificate”。
cert-managerpod 显示很多类似的错误:
并且certificate没有尝试获得证书(kubectl describe -ntest cert-letsencrypt):
它应该具有作为其他命名空间上的证书的任何状态。
我不明白为什么这个配置以前可以工作,但现在不能工作。
我不确定它是否相关,但我在几周前使用 kops 更新了 kubernetes,当前版本是:
kubernetes - 如何诊断未生成证书管理器的证书机密?
我创建了一个Certifate和一个ClusterIssuer。
我在 cert-manager pod 中看到以下内容:
没有生成“证书” - 我假设这是因为我的Certficate资源中引用的秘密没有生成。
我该如何进一步诊断?
kubernetes - cert-manager 正在使用 acme 响应程序创建新入口,而不是修改现有的
我正在尝试使用 cert-manager 通过 LetsEncrypt 颁发证书。
我已经按照这里的步骤http://docs.cert-manager.io/en/latest/getting-started/index.html
但是,我现有的入口没有被修改(我假设它需要修改它,因为添加了.well-known/....
相反,我看到为此创建了一个入口,其名称如下:cm-acme-http-solver-kgpz6?哪个比较混乱?
如果我获得该入口的 yaml,我会看到以下规则:
这究竟是如何工作的?由于文档似乎相当稀疏。
ssl - 如何为 Envoy 代理自动加载新的 TLS 证书?
我在 Kubernetes 环境中使用https://github.com/jetstack/cert-manager来自动加载https://letsencrypt.org/。它会创建 90 天后过期的证书。到期前30 天,cert-manager 更新证书并更换证书。证书存储在 k8s 机密中。
你如何让 Envoy Proxy自动重新加载证书?这些问题已关闭,似乎没有答案。有人提到了可以帮助提供解决方案的秘密发现服务 (SDS),但我还没有找到一个解决方案。
对于 nginx,可以通过将 k8s 机密添加到 k8s 卷来配置 TLS,将卷挂载到文件系统以供 nginx 使用。然后可以使用文件系统观察程序调用sudo nginx -s reload在证书更改时重新加载配置。我看到 Envoy Proxy 支持热重启,但是我没有看到类似 nginx 的命令让它热重启。
有一个hot-restarter.py,但它不是文件监视程序,我宁愿不在 envoyproxy/envoy:latest docker 映像上安装 python。我认为可能该程序的某些功能可以内置到一个也可以进行文件监视的 rust 应用程序中,但是对于这种非常常见的情况,必须已经存在一些东西,对吧?
azure - 发行者更改后,Kubernetes cert-manager 未更新证书
我正在使用cert-manager 0.5.2 来管理我们的 Kubernetes 集群上的 Let's Encrypt 证书。
我使用的是 Let's Encrypt 登台环境,但现在已经开始使用他们的生产证书。问题是我的应用程序没有更新到新的有效证书。
在更新颁发者、证书和入口资源时,我一定搞砸了,但我看不到是什么。我还重新安装了 NGINX 入口控制器和证书管理器,并重新创建了我的应用程序,但我仍然获得旧证书。接下来我能做什么?
描述letsencrypt集群发行者:
tls-secret证书描述:
描述aks-ingress入口控制器:
重新启动服务器后 cert-manager 的日志:
证书资源:
azure - 迁移到新集群后如何颁发证书?
我在 Azure Kubernetes 服务中设置了一个原型集群,以测试使用 cert-manager 配置 HTTPS 入口的能力。我能够使一切正常工作,现在我已准备好设置我的生产环境。
问题是我在原型上使用了我需要的子域名(sub.domain.com),现在我似乎无法让 Let's Encrypt 向生产集群提供证书。
我对 Kubernetes 还是很陌生,我似乎无法找到一种方法将证书从一个导出或移动到另一个。
更新:
下面提供的解决方案似乎可以工作,但归结为需要暂停/关闭原型的虚拟机。几分钟之内,生产环境就获得了证书。
deployment - 我对 Kubernetes 证书管理器有疑问
我正在尝试使用 Kubernetes 部署网站。部署时出现此错误:
也许有人知道问题可能是什么?非常感谢任何帮助!
kubernetes - 在 GKE 上使用 cert-manager 时出错
我收到以下错误:
这是我的工作负载的样子。
知道什么可能导致这种情况吗?
docker - Kubernetes cert-manager 证书生成错误
我正在尝试更改集群颁发者中的电子邮件,我已经在 K8s 集群中使用此证书管理器生成了一个。
Nginx 入口控制器和证书管理器都在集群上运行,那么为什么我会收到此错误。
昨天我尝试了暂存证书,它可以工作,但生产它不工作