问题标签 [cert-manager]

我正在从 GitLab 管理的 Kubernetes 集群迁移到自我管理的集群。在这个自我管理的集群中需要安装 nginx-ingress 和 cert-manager。我已经设法为用于审查环境的集群做同样的事情。我使用最新的 Helm3 RC 来管理这个，所以我不需要 Tiller。

到目前为止，我运行了这些命令：

这是我的cluster-issuer.yaml：

我安装了自己的 Helm 图表，名为docs. Helm 图表中的所有资源都按预期安装。使用 cURL，我可以通过 HTTP 获取页面。谷歌浏览器将我重定向到证书无效的 HTTPS 页面。

已创建其他以下资源：

似乎一切都被无效状态的 cert-manager 命令阻止。为什么会无效？我该如何解决这个问题？

我只会描述它是如何在我这边配置的。我已经使用本教程安装cert-manger在我的身上：Kubernetes

https://docs.cert-manager.io/en/latest/getting-started/install/kubernetes.html

我检查了它是否已安装并且它是：

我也ingress-resource有下一个配置：

另外，我已经配置了证书：

kubectl 描述证书 booknotes-certificate

我还创建了一个secret：

这是我的sevice & ingress部分：

我已使用本教程对其进行配置： https ://medium.com/@betandr/kubernetes-ingress-with-tls-on-gke-744efd37e49e

cert-manager和安装证书管理的官方文档。我错了什么？我如何检查为什么这不起作用？我已经尝试了很多东西，但都对我不起作用。我肯定做错了什么。但是什么？我知道我需要cert-manager更新我的lets-encrypt证书，还需要创建来存储它，然后我需要在和secret中配置我的入口。请你帮我找出更多应该发生的事情以及完成它的主要步骤是什么？如果您需要更多信息，请告诉我tlsannotaions

这是我的发行人：

我正在使用https://github.com/helm/charts/tree/master/stable/cert-manager。碰巧我有一个非常频繁的 INFO 日志记录。我还没有找到频繁记录的来源。问题在于，由于大量日志，Google Cloud Platform Stackdriver 功能的成本正在增加。

因此，我很想知道如何通过 cert-manager 的 helm 图表拒绝 INFO 日志记录。

Im trying to make my google services more secure by moving from http to https. I've been follwing the cert-manager documentation to get it working.

https://cert-manager.io/docs/configuration/acme/dns01/google/

I can't install helm on the cluster nor nginx ingress that's why im using the dns01 challenge instead of the http01.

I installed cert-manager with regular manifests v0.11.0.

After creating a dns admin service account, i used this yaml to create the issuer :

and my certificate object :

After applying these files, i had this results :

是否可以使用cert-managerACME HTTP01 挑战（特别是 Let's Encrypt）并cert-manager通过普通的 Nginx 服务器而不是 Nginx 入口提供解决方案？

所以从技术上讲，如果cert-manager将挑战解决方案写入文件就足够了，通过 Nginx 提供它是我可以手动配置的东西。

我想使用 cert-manager 在 AKS 上颁发我自己的 SSL 证书。

我已经有一个我想要使用的签名证书 ( https://www.quovadisglobal.de/Zertifikate/SSLCertificates/BusinessSSLCertificates.aspx )。在 cert-manager 的文档中，我只找到两个相关的解决方案。 https://cert-manager.io/docs/configuration/

SelfSigned：这应该用于由 CSR 签署证书。

CA：这应该用于签署传入的证书请求。

我尝试了第二个。这是我所做的：

安装并验证 cert-manager：

从私钥和证书创建 Secret：

创建发行人：

错误：

我做错了什么？

编辑：

尝试将 issuer 应用于 kubernetes 并收到此错误： Error from server (InternalError): error when creating ".\\issuer.yaml": Internal error occurred: failed calling webhook "webhook.cert-manager.io": Post https://cert-manager-1575287841-webhook.cert-manager.svc:443/mutate?timeout=30s: service "cert-manager-1575287841-webhook" not found

似乎它试图调用它"cert-manager-1575287841-webhook"，但在我的 kubernetes 中我有"cert-manager-1575353985-webhook"。

我对 Kubernetes 和 istio 有点陌生。我正在尝试创建一个服务并通过 HTTPS 访问它。

• 通过 HTTP 一切看起来都很棒
• 我已经使用 cert-manager 和 Let's Encrypt 来生成证书
• 证书已成功生成
• 我使用以下命令生成了秘密

这些是我的网关、虚拟服务、集群颁发者和证书的配置文件。

网关

虚拟服务

集群发行者

证书

当我运行时kubectl get secrets messaging-certificate -o yaml，我可以看到 tls.crt 和 tls.key 的内容。

有什么想法为什么我无法通过 HTTPS 访问？

- - 编辑

完整的 istio 清单- 我已经使用istioctl manifest generate. 希望这是正确的方法

Waiting for http-01 challenge propagation: failed to perform self check GET request，它类似于这个错误https://github.com/jetstack/cert-manager/issues/656 但来自 GitHub 票证评论的所有解决方案都没有帮助。

CertManager我正在尝试按照本教程中的说明在 DigitalOcean 上进行设置： https ://www.digitalocean.com/community/tutorials/how-to-set-up-an-nginx-ingress-with-cert-manager-on -digitalocean-kubernetes 我没有收到任何错误，但来自的请求CertManager处于挂起状态超过 40 小时。

我已经使用 Nginx 成功配置了 Ingress，然后我创建了一个命名空间并创建了CertManagerCRD：

我可以按预期看到所有CertManagerpod：

然后我创建了登台发行人：

并更新了 Ingress 配置：

但在那之后，CertManager没有更新证书并处于等待InProgress状态：

而不是使用Fake LE Intermediate X1as aCN它返回CN=Kubernetes Ingress Controller Fake Certificate,O=Acme Co

可能是什么问题CertManager以及如何解决？

更新：

入口日志包含以下错误：

更新2：

秘密ingress-tls可按预期使用：

更新3：

我发现cert-managerpod 失败并显示日志：

挑战状态：

我试图删除挑战以重新触发它，但在一两分钟后它失败并出现同样的错误。我检查了我是否可以从集群节点访问挑战 URL（使用kubectl run -it ...和wget http://<domain>/.well-known/acme-challenge/<token>从新 pod.

更新大使舵图

helm upgrade --install --wait ambassador -f ambassador-helm-values.yaml stable/ambassador

失败：

删除 ClusterRoleBindingambassador-crds并尝试运行helm upgrade命令。这会ambassador-crds再次生成并失败并显示相同的错误消息。