时间戳

首页 > 解决方案 > 使用 DigitalOcean 在 Kubernetes 集群上为我的 Nginx-Ingress 生成通配符证书

nginx - 使用 DigitalOcean 在 Kubernetes 集群上为我的 Nginx-Ingress 生成通配符证书

问题描述

我遵循了这个 DigitalOcean 指南https://www.digitalocean.com/community/tutorials/how-to-set-up-an-nginx-ingress-with-cert-manager-on-digitalocean-kubernetes,我遇到了一些事情很奇怪。在主机名中设置通配符时,letsencrypt无法颁发新证书。而当我只设置定义的子域时,它可以完美地工作。

这是我对域及其 api 的“工作”配置(并且这个配置完美):

apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
  name: my-ingress
  annotations:
    cert-manager.io/cluster-issuer: "letsencrypt-staging"
spec:
  tls:
  - hosts:
    - example.com
    - api.example.com
    secretName: my-tls
  rules:
  - host: example.com
    http:
      paths:
      - backend:
          serviceName: example-frontend
          servicePort: 80
  - host: api.example.com
    http:
      paths:
      - backend:
          serviceName: example-api
          servicePort: 80

相反,这是我试图颁发的通配符证书,但这无法留下“正在颁发”的消息。

apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
  name: my-ingress
  annotations:
    cert-manager.io/cluster-issuer: "letsencrypt-staging"
spec:
  tls:
  - hosts:
    - example.com
    - *.example.com
    secretName: my-tls
  rules:
  - host: example.com
    http:
      paths:
      - backend:
          serviceName: example-frontend
          servicePort: 80
  - host: api.example.com
    http:
      paths:
      - backend:
          serviceName: example-api
          servicePort: 80

唯一的区别是主机的第二行。有一个我不知道的微不足道的众所周知的解决方案吗?我是 Kubernetes 的新手,但不是 DevOps 的新手。

标签: nginxsslkuberneteskubernetes-ingress

解决方案

cert-manager使用( )生成通配符证书letsencrypt需要使用DNS-01挑战,而不是HTTP-01 在问题的链接中使用

Let's Encrypt 是否颁发通配符证书?

是的。通配符发行必须通过 ACMEv2 使用 DNS-01 质询来完成。有关更多技术信息,请参阅此帖子

有一个关于生成wildcard证书的文档cert-manager

从DigialOcean的角度来看,有专门针对它的指南:

此提供程序使用 KubernetesSecret资源来工作。在以下示例中,Secret将必须命名并具有包含令牌digitalocean-dns的子键。access-token例如:

apiVersion: v1
kind: Secret
metadata:
  name: digitalocean-dns
  namespace: cert-manager
data:
  # insert your DO access token here
  access-token: "base64 encoded access-token here"

访问令牌必须具有写入权限。

要创建个人访问令牌,请参阅DigitalOcean 文档

方便的直接链接:https ://cloud.digitalocean.com/account/api/tokens/new

要将您的访问令牌编码为 base64,您可以使用以下命令

echo -n 'your-access-token' | base64 -w 0

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: example-issuer
spec:
  acme:
    ...
    solvers:
    - dns01:
        digitalocean:
          tokenSecretRef:
            name: digitalocean-dns
            key: access-token

-- Cert-manager.io: 文档: 配置: ACME: DNS-01: Digitalocean

我认为这些额外的资源也可以提供帮助:

推荐阅读