还不会CertManager自动签发证书？一文掌握-6ren

还不会CertManager自动签发证书？一文掌握

转载作者：撒哈拉更新时间：2025-01-09 20:40:47

57

4

相信很多小伙伴对于 Cert Manager 不陌生，Cert Manager 是 Kubernetes 上的证书管理工具，基于 ACME 协议与 Let's Encrypt 签发免费证书并为证书自动续期，实现永久免费使用证书.

本文将介绍如何使用 Cert Manager 实现自动签发证书并与 Rainbond 结合使用.

Cert Manager 概述

工作机制概述

在将 Cert Manager 部署到 Kubernetes 集群后，可以通过创建支持的自定义资源 CRD 来实现证书的签发和自动续期功能。以下是 Cert Manager 的工作机制概览:

Issuer 是 Cert Manager 用于定义证书签发方式的资源类型。它支持以下多种证书颁发机构:

Let's Encrypt：广泛使用的免费证书颁发机构，支持 ACME 协议。
HashiCorp Vault：适用于企业级密钥管理和证书签发。
Venafi：支持企业环境中更复杂的证书管理需求。
自签发证书：适合内部使用场景。

Certificate 是 Cert Manager 的核心资源之一，用于定义需要签发的域名证书及其相关配置。它包含以下关键信息:

域名信息：需要绑定证书的具体域名。
配置参数：指定签发证书所需的额外信息，例如有效期、密钥长度等。
Issuer 的引用：关联到某个具体的 Issuer 或 ClusterIssuer。

Secrets 是 Kubernetes 的资源对象，签发完成的证书最终会存储在 Secrets 中，供其他组件引用.

证书签发概述

本文使用 Let’s Encrypt 作为证书颁发机构，Let’s Encrypt 利用 ACME 协议校验域名的归属，校验成功后可以自动颁发免费证书。免费证书有效期只有90天，默认情况下 Cert Manager 会在证书到期前30天自动续期，即实现永久使用免费证书。校验域名归属的两种方式分别是 HTTP-01 和 DNS-01.

HTTP-01：通过向域名的 HTTP 服务发送请求验证域名归属，适用于使用 Ingress 暴露流量的服务，但不支持泛域名证书。Cert Manager 会动态创建或修改 Ingress 规则，添加临时路径以响应 Let’s Encrypt 的验证请求。验证通过后颁发证书.

DNS-01：通过在 DNS 提供商处添加 TXT 记录验证域名归属，支持泛域名证书且无需 Ingress。Cert Manager 使用 DNS 提供商的 API 自动更新记录。Let’s Encrypt 查询 TXT 记录后完成验证并颁发证书.

校验方式对比

特性	HTTP-01	DNS-01
是否依赖 Ingress	是	否
是否支持泛域名	否	是
配置难度	简单，适用于所有 DNS 提供商	配置复杂，依赖 DNS 提供商的 API 支持
典型适用场景	仅服务通过 Ingress 暴露流量	需要泛域名证书或无 Ingress 的服务

部署 Cert Manager 和 Rainbond

使用 Helm 安装 Cert Manager，更多请参考Cert Manager 部署文档.

$ helm repo add jetstack https://charts.jetstack.io
$ helm install \
  cert-manager jetstack/cert-manager \
  --namespace cert-manager \
  --create-namespace \
  --version v1.16.2 \
  --set crds.enabled=true

执行以下命令，快速安装 Rainbond.

curl -o install.sh https://get.rainbond.com && bash ./install.sh

创建 Issuer

Issuer 是 Cert Manager 的核心资源，用于定义证书的签发方式和配置。以下是一个示例，使用 HTTP-01 校验方式结合 Ingress 签发证书.

$ kubectl apply -f issuer.yaml
apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: issuer                 # Issuer 的名称
  namespace: default           # 所在的命名空间
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory  # Let's Encrypt 的生产环境 ACME 服务地址
    privateKeySecretRef:
      name: issuer-account-key   # 保存 ACME 私钥的 Kubernetes Secret
    solvers:                     # 域名校验方式
    - http01:
        ingress:
          ingressClassName: apisix  # 使用 APISIX 作为 Ingress 控制器

创建 Certificate

Certificate 是 Cert Manager 的核心资源之一，用于指定需要签发的域名证书及其相关配置。以下是一个完整的配置示例，结合前面创建的 Issuer，为指定域名自动签发和续期证书.

以下 YAML 文件创建了一个 Certificate 资源，为域名 test.rainbond.com 签发证书:

$ kubectl apply -f certificate.yaml
apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: test-rainbond-com # Certificate 资源的名称
  namespace: default      # 所在的命名空间
spec:
  dnsNames:
  - test.rainbond.com     # 需要绑定证书的域名
  issuerRef:
    kind: Issuer          # 引用的 Issuer 类型
    name: issuer          # 引用的 Issuer 名称
  secretName: test-rainbond-com-tls # 存储签发的证书和私钥的 Secret 名称

获取和查看证书

创建 Certificate 后，可以通过以下步骤检查签发状态并获取证书内容:

检查 Certificate 签发状态，使用 kubectl get certificate 命令查看 Certificate 的状态：

$ kubectl get certificate -n default
NAME                READY   SECRET                  AGE
test-rainbond-com   True    test-rainbond-com-tls   1m

READY 为 True：表示证书签发成功。证书已保存在指定的 Secret 中。
READY 为 False：表示签发失败。需要进一步排查原因。

排查签发失败原因，如果 READY 状态为 False，可以使用以下命令查看详细事件日志：

kubectl describe certificate test-rainbond-com -n default

日志中会显示失败的原因，例如域名校验失败、配置错误或 Issuer 不可用.

查看生成的 Secret，当 READY 状态为 True 时，证书和密钥将保存在指定的 Secret 中。可以通过以下命令查看：

$ kubectl get secret test-rainbond-com-tls -n default
NAME                   TYPE                DATA   AGE
test-rainbond-com-tls  kubernetes.io/tls  2      1m

tls.crt: 证书内容。
tls.key: 证书对应的私钥。

获取具体证书和密钥内容，使用以下命令查看或提取证书和私钥内容：

$ kubectl get secret test-rainbond-com-tls -n default -o yaml
apiVersion: v1
kind: Secret
metadata:
  name: test-rainbond-com-tls
  namespace: default
data:
  tls.crt: <base64 encoded certificate>
  tls.key: <base64 encoded private key>

可以使用 base64 解码证书内容:

echo "<base64 encoded certificate>" | base64 -d

在 Rainbond 中使用证书

Rainbond v6 版本采用 APISIX 作为默认的 Ingress 控制器，通过配置 ApisixTls 资源即可轻松绑定证书，APISIX 会根据网关中的域名自动匹配对应的证书.

$ kubectl apply -f tls.yaml
apiVersion: apisix.apache.org/v2
kind: ApisixTls
metadata:
  name: test-rainbond-com       # 资源名称
  namespace: default            # 所在命名空间
spec:
  hosts:
  - test.rainbond.com           # 绑定的域名
  ingressClassName: apisix      # 指定 Ingress 类名
  secret:
    name: test-rainbond-com-tls # 引用存储证书的 Secret 名称
    namespace: default          # 引用的 Secret 所在命名空间

添加路由

在 Rainbond 页面上添加网关路由。进入网关管理 > 路由设置，创建一个新的路由，填写域名（如 test.rainbond.com）并完成路由配置.

Rainbond 会自动检测网关路由的域名是否与 ApisixTls 中的 hosts 匹配。如果匹配成功，将自动为该域名启用 HTTPS，并绑定对应的证书.

最后

通过本文的介绍，我们详细了解了如何使用 Cert Manager 在 Kubernetes 中实现证书的自动签发与续期，并将其与 Rainbond 集成。Cert Manager 的灵活性与 Rainbond 的易用性结合，可以大大简化 HTTPS 的部署流程，为服务提供安全性保障.

最后此篇关于还不会CertManager自动签发证书？一文掌握的文章就讲到这里了,如果你想了解更多关于还不会CertManager自动签发证书？一文掌握的内容请搜索CFSDN的文章或继续浏览相关文章，希望大家以后支持我的博客！。

57

4

0

文章推荐： Report-「概率数据结构」随机化骗分？我们是专业的！

文章推荐：关于linux网桥(LinuxBridge)的一些个人记录

文章推荐：上位机能不能替代PLC呢？

QTCreator 的集成表单编辑器不会加载自定义小部件插件(Designer 会)
尝试使用集成到 QTCreator 的表单编辑器，但即使我将插件放入 QtCreator.app/Contents/MacOS/designer 也不会显示。不过，相同的 dylib 文件确实适用于独
java - 会 this.method2();跳过返回值？
在此代码示例中。 “this.method2();”之后会读到什么？在返回returnedValue之前会跳转到method2()吗？ public int method1(int returnedV
java - Gradle 不会解析依赖关系(Maven 会)
我的项目有通过gradle配置的依赖项。我想添加以下依赖项: compile group: 'org.restlet.jse', name: 'org.restlet.ext.apispark', v
polymer - polymer 会 build 更多现成可用的组件吗？
我将把我们基于 Windows 的客户管理软件移植到基于 Web 的软件。我发现 polymer 可能是一种选择。但是，对于我们的使用，我们找不到 polymer 组件具有表格 View 、下拉菜单
java - 从项目文件夹中读取文件，eclipse 会，但终端不会
我的项目文件夹 Project 中有一个文件夹，比如 ED 文件夹，当我在 Eclipse 中指定在哪里查找我写入的文件时 File file = new File("ED/text.txt"); e
javascript - jQuery 动画背景位置不会改变但 css 会
这是奇怪的事情，这个有效: $('#box').css({"backgroundPosition": "0px 250px"}); 但这不起作用，它只是不改变位置: $('#box').animate
javascript - 为什么按位运算符 OR 会 chop 此示例中的值？
这个问题在这里已经有了答案: Why does OR 0 round numbers in Javascript? (3 个答案) 关闭 5 年前。 Mozilla JavaScript Guide
c - strcmpi 代码不会编译但 strcmp 会？
这个问题在这里已经有了答案: Is the function strcmpi in the C standard libary of ISO? (3 个答案) 关闭 8 年前。我有一个问题，为什么
mysql - MySQL 会/是否支持 DATETIMEOFFSET？
我目前使用的是共享主机方案，我不确定它使用的是哪个版本的 MySQL，但它似乎不支持 DATETIMEOFFSET 类型。是否存在支持 DATETIMEOFFSET 的 MySQL 版本？或者有计划
java - CDI 会(或应该)提供包限定符吗？
研究 Seam 3，我发现 Seam Solder 允许将 @Named 注释应用于包 - 在这种情况下，该包中的所有 bean 都将自动命名，就好像它们符合条件一样@Named 他们自己。我没有看到
arrays - `removeLast` 会 swift 减少数组的容量吗？
我知道 .append 偶尔会增加数组的容量并形成数组的新副本，但 .removeLast 会逆转这种情况并减少容量通过复制到一个新的更小的数组来改变数组？最佳答案否(或者至少如果是，则它是一个错
ruby - Ruby 会*快*吗？
很难说出这里要问什么。这个问题模棱两可、含糊不清、不完整、过于宽泛或夸夸其谈，无法以目前的形式得到合理的回答。如需帮助澄清此问题以便重新打开，visit the help center . 关闭 1
c++ - noexcept 会 boost 性能吗？
noexcept 函数说明符是否旨在 boost 性能，因为生成的对象中可能没有记录异常的代码，因此应尽可能将其添加到函数声明和定义中？我首先想到了可调用对象的包装器，其中 noexcept 可能会产
Angularjs Promise.all 不会更新范围，而 $q.all 会
我正在使用 Angularjs 1.3.7，刚刚发现 Promise.all 在成功响应后不会更新 angularjs View ，而 $q.all 会。由于 Promises 包含在 native
javascript - 为什么移动 0 会 chop 小数？
我最近发现了这段JavaScript代码: Math.random() * 0x1000000 10.12345 10.12345 >> 0 10 > 10.12345 >>> 0 10 我使用
haskell - 为什么 Haskell 会(显然)不一致地推断出特定类型？
我正在编写一个玩具(物理)矢量库，并且遇到了 GHC 坚持认为函数应该具有 Integer 的问题。是他们的类型。我希望向量乘以向量以及标量(仅使用 * )，虽然这可以通过仅使用 Vector 来实现
email - Swiftmailer 不会发送邮件，但是 mail() 会
PHP 的 mail() 函数发送邮件正常，但 Swiftmailer 的 Swift_MailTransport 不起作用! 这有效: mail('user@example.com', 'test
PHP 脚本不会转储 SQL 但 phpMyAdmin 会
我尝试通过 php 脚本转储我的数据，但没有命令行。所以我用 this script 创建了我的 .sql 文件然后我尝试使用我的脚本: $link = mysql_connect($host, $u
python sqlite3 不会执行连接，但单独的 sqlite3 会
使用 python 2.6.4 中的 sqlite3 标准库，以下查询在 sqlite3 命令行上运行良好: select segmentid, node_t, start, number,title
javascript - 为什么移动 0 会 chop 小数？
我最近发现了这段JavaScript代码: Math.random() * 0x1000000 10.12345 10.12345 >> 0 10 > 10.12345 >>> 0 10 我使用

首页

博学

6Ren·AI

商城