问题标签 [cert-manager]

我正在使用标准程序为在 Kubernetes 上运行的应用程序启用 HTTPS 终止，使用： - 入口 nginx - AWS ELB 经典 - 让我们加密的证书管理器

我使用了此处描述的程序：https ://www.digitalocean.com/community/tutorials/how-to-set-up-an-nginx-ingress-with-cert-manager-on-digitalocean-kubernetes

我之前已经能够使 Ingress 与 HTTP 一起工作，但我遇到了 HTTPS 问题，当我尝试 cURL 应用程序 URL 时出现以下错误：

这是我目前拥有的：

在 kube-system 命名空间中运行的证书管理器：

ingress-nginx 命名空间中的入口设置：

应用命名空间中的应用和入口：

这是入口资源的样子：

我已经完成的其他检查：

检查证书是否已正确生成：

来自 cert-manager 的检查日志：

目前还不确定还有什么值得检查的？

我正在使用 cert-manager 和 kong-ingress-controller 在 kubernetes 中启用 https。

我有兴趣弄清楚更新过程是如何的，当我只使用 aClusterIssuer和它在我们使用入口资源时默认生成的证书时。

我没有使用该kind: Certificate资源，这意味着我没有定义要签名的 X.509 自定义证书并获取通过引用我的ClusterIssuer.

目前我已经创建了一个ClusterIssuer和一个入口资源，它会自动创建一个名为的证书，该证书letsencrypt-prod将用于执行和letsencrypt CAhttp01之间的验证cert-manager

最后，我有这个输出：

这意味着我的证书将在1438h-59m- 58.49343646s 内更新。这意味着大约 3 个月

这意味着，真的会自动翻新吗？

如这里所示：

所有证书的默认持续时间为 90 天，默认续订窗口为 30 天。这意味着证书被视为有效期为 3 个月，并且将在到期后的 1 个月内尝试续订。

证书管理器文档说：

尽管在证书资源上指定了持续时间和续订期限，但相应的颁发者或 ClusterIssuer 必须支持这一点。

我的集群发行者是：

如果我不创建证书资源，如何管理duration和参数。renewBefore?

根据this我可以在我的ClusterIssuer中添加duration和参数吗？renewBefore也许是这种方式？

我正在尝试使用 cert-manager 在 kubernetes(DigitalOcean) 中设置 TLS。

在服务器机器上使用 Let's Encrypt 和 certbot 有很好的描述，但是在 Kubernetes 中运行时我找不到任何信息。

我找到了这个，但是如何在 Kubernetes cert-manager ClusterIssuer上使用 cert-manager 中的证书：

我没有任何电子邮件注册表？

我正在尝试让 Let's Encrypt 与 GKE 上的 cert-manager 一起工作。我已遵循以下程序：

单独安装 CustomResourceDefinition 资源

为 cert-manager 创建命名空间

标记 cert-manager 命名空间以禁用资源验证

添加 Jetstack Helm 存储库

更新本地 Helm 图表存储库缓存

安装 cert-manager Helm 图表

这导致（在 cert-manager 命名空间中）

之后我安装 webapp（默认）和（默认） issuer.yml

和证书.yml

在这里，我似乎遇到了一个问题：

它确实超越了这一点。没有证书得到验证...

入口看起来像

最后，由于证书无效，我的网站仍然不安全。

发给：

颁发者：通用名称 (CN) cert-manager.local 组织 (O) cert-manager 组织单位 (OU)

我错过了什么证书无效。

在本教程中，您可以使用 Helm 设置私有注册表。

它在文档中说明：
注意：不安全的注册表可用于开发、POC 或实验室试验。您不应该在生产中使用它。网上有大量文档可指导您完成安全的注册表设置。

好的，我已经搜索（并尝试了）两天了，但实际上没有任何东西可以与 openssl 和 docker-for-mac 一起使用。

你知道吗？

更新：
步骤：
1. 安装 cert-manager
2. 按照这个，创建一个证书
3. 创建一个入口：

4. 将 ca.cert 添加到 Mac 上的 Keychain
   
5. docker push mydomain.dev/mycontainer

然后我得到：

注意：
1. https://mydomain.dev/ v2 /
2. ingress.local

注册表的 svc，由 Helm 图表（证书管理器）生成：

我已经通过 helm 在 Kubernetes 上安装了 docker-registry。

我可以通过 docker push 来docker push 0.0.0.0:5000/<my-container>:v1使用端口转发。

现在如何从 deployment.yaml 引用注册表中的图像？

这确实列出了我的容器：

部署时我不断收到ImagePullBackOff。

我使用内部服务名称和集群 IP 地址绑定，仍然无法正常工作。

然后尝试使用秘密：

并将秘密添加到deployment.yaml：

然后我得到：

我正在尝试在我的 Web 界面上获取 https 作为域的 api。我尝试使用 nginx 入口。它适用于 www.example.com，但现在我需要在 api.example.com 添加 api。我尝试了以下方式，但无济于事。删除 api 相关部分，它适用于 web 界面，否则 web 界面也不起作用。如何指定我的入口文件，以便它在 api.example.com 上添加 https 并在 www.example.com 域上类似地添加？

certmanager 文件的设置如下。

我有 Cloudflare DNS 来管理我的域。我在 Cloudflare 中创建了一个 A-record *.play.mydomain.com。

在 Kubernetes (GKE) 中，我创建了 Issuer

我为 cloudflare 创建了秘密（cloudflare-api-key）

我还创建了通配符证书：

证书生成成功。

但在日志 cert-manager 我看到一个错误：

我也有一个入口：

日志中出现错误（运行入口后）：

如何在 kubernetes 中使用通配符证书 Let's Encrypt with cert-manager、nginx ingress、cloudflare？

我想要入口并启动许多子域（[randomstring].play.mydomain.com）。

在 Kubernetes 中使用nginx-ingress时，如何定义应该用于 HTTPS 的自定义端口，而不是 443？我的配置如下所示：

最好，我希望能够在默认的 443 端口和附加的自定义端口上通过 HTTPS 访问该服务。

在此之后

设置：

Cert-manager ClusterIssuer 状态：

我已按照文档中的方式进行操作，但未描述设置 Google DNS

我在 Google DNS 控制台中手动创建了一个 DNS。

我的域指向域名服务器，我可以 ping 正确的服务器 IP 地址，

创建 DNS 时，我添加了一个记录集：

注意：也试过不带“ * ”

我在这里看到，他们谈论设置TXT？

你知道如何使它（证书管理器和 TLS）工作吗？