CertManager和Let'sEncrypt为应用自动管理CA证书

661 499

随着HTTPS不断普及,大多数网站开始由HTTP升级到HTTPS。使用HTTPS需要向权威机构申请CA证书,并且需要付出一定的成本,如果需求数量多,则开支也相对增加。证书过期,是个让人很头疼的问题。需要定期的去renew证书,就会比较麻烦,而且很容易遗忘。Cert-manager是Kubernetes上的全能证书管理工具,支持利用Cert-Manager基于ACME(AutomaticCertificateManagementEnvironment)协议与Let'sEncrypt签发免费证书并为证书自动续期,实现永久免费使用证书。

Cert-Manager官方给出的架构图,可以看到Cert-Manager在K8S中定义了两个自定义类型资源:Issuer和Certificate。

其中Issuer代表的是证书颁发者,可以定义各种提供者的证书颁发者,当前支持基于、Let'sEncrypt/vault和自签名等证书颁发者,还可以定义不同环境下的证书颁发者。

Certificate代表的是生成证书的信息数据,一般其中存入生成证书的元信息,如域名等等。

一旦在K8S中定义了上述两类资源,部署的Cert-Manager则会根据Issuer和Certificate生成TLS证书,并将证书保存进K8S的Secret资源中,然后在Ingress资源中就可以引用到这些生成的Secret资源。对于已经生成的证书,还会定期检查证书的有效期,如即将超过有效期,还会自动续期。

Let'sEncrypt和ACME协议的目标是使配置能够自动获取受信任浏览器的证书的HTTPS服务器成为可能。这是通过在Web服务器上运行证书管理软件(Agent)来达成的。该流程分为两步。首先,管理软件向证书颁发机构证明该服务器拥有域名的控制权。之后,该管理软件就可以申请、续期或吊销该域名的证书。

Let'sEncrypt通过公钥识别服务器管理员。证书管理软件首次与Let'sEncrypt交互时,会生成新的密钥对,并向Let'sEncryptCA证明服务器控制着一个或多个域名。这类似于创建帐户和向该帐户添加域名的传统证书颁发流程。

Let'sEncrypt利用ACME协议校验域名的归属,校验成功后可以自动颁发免费证书。免费证书有效期只有90天,需在到期前再校验一次实现续期。使用Cert-Manager可以自动续期,即实现永久使用免费证书。

本文将通过在OCI云上,在Kubernetes环境中,使用Cert-Manager和Let’sEncrypt自动管理应用证书的创建和更新的过程。

环境准备:

使用OCI部署好的OKE实例。

使用申请好的testoci.xyz域名,托管在OCIDNS服务上。

运行命令:

使用helm工具,安装Cert-Manager-WebhookforOCI,webhook使Cert-Manager的Issuer对象可以使用DNS校验机制,验证OCIDNS域名资源。

运行命令:

helminstallcert-manager-webhook-ocicert-manager-webhook-oci/cert-manager-webhook-oci

运行命令,确保Secret创建完成。

kubectlapply-foci-profile.yaml

创建名称为letsencrypt-ocidns的Issuer配置文件中,server的URL指向Let'sEncrypt的ACMEtls证书管理地址,如果是在测试环境中,可以指向staging测试的tls证书管理地址。Let'sEncrypt将使用DNS的校验方式,通过oci的webhook完成DNS域名的校验,ociProfileSecretName变量指向创建的oci-profileSecret,CompartmentOCID指向OCIDNS上托管的域名的Compartment。

kubectlapply-flet-encrypt-issuer-ocidns.yaml

查看Issuerletsencrypt的Ready状态为True,Issuer创建成功。

配置文件中dnsNames指定域名,通过dns校验方式,可以使用通配符域名,secretName指向Kubernetes中存放tls证书的Secret名称,IssuerRef指向创建的Iusser。

kubectlapply-fcertificate-let-encrypt-ocidns.yaml

查看Certificate的状态,Ready为True表示证书签发成功,可以使用。

在OKE集群中,使用NginxIngressControler对外暴露Web应用,NgnixIngressControler的部署过程参加官方文档。

在Ingress配置文件中,hosts指向OCIDNS配置的域名hello-ingress.testoci.xyz,secretName指向Certificate生成的secretapp-lets-encrept-oci-dns-tls。

通过命令,查看NginxIngressController的PublicIP地址为132.226.239.140。

在OCIDNS上,在testoci.xyz域名管理下,增加A记录指向NginxIngressController的PublicIP地址。

在浏览器通过域名访问发布的Web应用,发现Let'sEncrypt签发的证书已经应用,网站加上的“安全锁”的标记,表明网站的连接是安全的。

通过以上操作,在OCI的OKE环境中,可以看到通过Cert-Manager和Let‘sEncrypt,可以自动管理管理Kubernetes环境中CA证书的自动分发和管理工作。

THE END

技术解决方案最佳实践频道

CertManager实现基于阿里云的自动证书签发宋艳龙

CertManager和Let'sEncrypt为应用自动管理CA证书

电脑技巧

DigiCert?TrustLifecycleManager证书生命周期管理系统PKI证书管理系统云巴巴

1.k8s中使用certmanager生成自签名证书certmanager自签证书注意查看cert-manager和K8S支持的对应版本 我的k8sv1.28.2,cert-managerv1.12.11 下载cert-manager.yaml 文件,执行 kubectl apply-fcert-manager.yaml 1 注意:安装成功后如果应用路由使用了Ingress,应用路由不需要开启https也能使用https访问 二、生成自签名证书 https://blog.csdn.net/mengting2040/article/details/140274185
2.在Rancher中使用证书管理器进行自签名证书腾讯云开发者社区在本教程中,我们将向您展示如何在Ubuntu 18.04上设置用于Apache Web服务器的自签名SSL证书。https://cloud.tencent.com/developer/ask/sof/106865380
3.使用certmanager颁发自签证书AGou'sBlogcert-manager 是一个云原生证书管理开源项目,用于在 Kubernetes 集群中自动管理和颁发来自各种颁发源的 TLS 证书,它可以从各种受支持的来源颁发证书,包括Let’s Encrypt、HashiCorp Vault和Venafi以及私有 PKI,它将确保证书定期有效和更新,并在到期前的适当时间尝试更新证书。 https://agou-ops.cn/myBlog-2/post/cert-manager%E9%A2%81%E5%8F%91%E8%87%AA%E7%AD%BE%E8%AF%81%E4%B9%A6/
4.k8s信任私人仓库的自签名证书51CTO博客已为您找到关于k8s 信任私人仓库的自签名证书的相关内容,包含IT学习相关文档代码介绍、相关教程视频课程,以及k8s 信任私人仓库的自签名证书问答内容。更多k8s 信任私人仓库的自签名证书相关解答可以来51CTO博客参与分享和学习,帮助广大IT技术人实现成长和进步。https://blog.51cto.com/topic/bd33ca26b2b6baf.html
5.如何通过自签名证书的方法去掉登录DeviceManager界面时的隐私警告将生成的自签名证书导入存储阵列。 通过CLI登录存储阵列环境,使用import ssl_certificate命令导入4.b共享的证书和密钥文件(本例中为“deviceManager_cert.pem”和“deviceManager_key.pem”)。 必须通过CLI登录存储阵列环境导入4.b享的证书和密钥文件。 需在每个控制器分别执行import ssl_certificate命令进行证书和密钥的https://support.huawei.com/enterprise/zh/doc/EDOC1100138463?section=j01m
6.第5章目录服务器安全性(SunJavaSystemDirectoryServer当自签名证书过期时,请停止服务器实例并续订证书。 dsadm stop instance-path $ dsadm renew-selfsign-cert instance-path cert-alias 重新启动服务器实例。 $ dsadm start instance-path 请求CA 签名的服务器证书此过程介绍如何请求和安装用于目录服务器的 CA 签名服务器证书。您https://docs.oracle.com/cd/E19957-01/820-2520/bcaul/index.html
7.CertManager申请SSL证书流程及相关概念二SelfSigned自签名cert-manager Issuer 的一种 CA证书颁发机构Certificate Authority 的缩写; cert-manager Issuer 的一种 Vault金库cert-manager Issuer 的一种,即 Hashicorp Vault VenafiVenafi在线证书办理服务,目前用的不多。 External外部cert-manager Issuer 的一种 https://www.imooc.com/article/333408
8.证书管理使用certmanager自动生成证书Let’s Encrypt 利用ACME协议来校验域名是否真的属于你,校验成功后就可以自动颁发免费证书,证书有效期只有 90 天,在到期前需要再校验一次来实现续期,幸运的是 cert-manager 可以自动续期,这样就可以使用永久免费的证书了。如何校验你对这个域名属于你呢?主流的两种校验方式是 HTTP-01 和 DNhttps://www.bookstack.cn/read/kubernetes-practice-guide/best-practice-cert-management-autogenerate-certificate-with-cert-manager.md
9.trino开启https技术文章那么,如何查看生成证书的文件格式呢: Bash [root@devops-hadoop3-krb-node2 hdfs_ca]# keytool -list -v -keystore ./keystore 输入密钥库口令: 密钥库类型: JKS 密钥库提供方: SUN 您的密钥库包含 2 个条目 别名: caroot 创建日期: 2023-10-7 条目类型: trustedCertEntry 所有者: CN=devops-hadoophttps://yunche.pro/blog/?id=816
10.容器服务使用certmanager为DNSPod的域名签发免费证书如果您的域名使用腾讯云DNSPod管理,并期望在 Kubernetes 上为域名自动签发免费证书,可以使用 cert-manager 来实现。 cert-manager 支持许多 DNS provider,但不支持国内的 DNSPod,不过 cert-manager 提供了Webhook机制来扩展 provider,社区也有 DNSPod 的 provider 实现。本文将介绍如何结合 cert-manager 与cert-manager-webhttps://cloud.tencent.com.cn/document/practice/457/60225
11.使用cert要提供传输层安全性 (TLS) 密钥和证书私钥,您可以使用 cert-manager(本机 Kubernetes 证书管理控制器)。 关于此任务 将以下示例复制到文件中,并根据您的需求编辑文件。 过程 生成根认证中心 (CA)。 生成自签名签发者以发出自签名 CA。 apiVersion: certmanager.k8s.io/v1alpha1 kind: Issuer metadata: name:https://www.ibm.com/docs/zh/cloud-paks/cp-biz-automation/19.0.x?topic=secrets-using-cert-manager
12.Rancher高可用安装Cert你已有的证书 自签名证书 颁发机构颁发的证书 本文介绍如何使用Rancher 生成 CA,由 cert-manager 负责签发的证书来安装高可用的 Rancher,更多安装方式,可参考官网文档。 关于DNS 生产环境安装 Rancher 高可用,需要有一个 DNS 服务器来解析 Rancher 的域名。 https://forums.rancher.cn/t/rancher-cert-manager-tls-4-lb/1688
13.k8s运维笔记使用cert搭建完一套 k8s 服务后,使用 ingress-nginx 发布web服务,希望能够用使用 cloudflare 免费证书实现 https 访问来提高B格,之前看过很多资料,在有了域名并在 cloudflare 托管为前提,除却 cert-manager 部署和 cloudflare 配置以外实际上真正要创建的东西也就3个。 https://juejin.cn/post/7310109331504185356
14.iOS基于AFNetworking下自签名证书配置的方法IOSAFSecurityPolicy *policy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate withPinnedCertificates:certSet]; // shareManager 是继承自AFHTTPSessionManager的一个类的实例对象 sharedManager.securityPolicy = policy; 这样在请求时,如果服务器要校验自签名证书就会调用AFSecurityPolicy类中以下方法 https://www.jb51.net/article/136814.htm
15.YTKNetwork扩展支持自签名证书SSL通信·Issue#125·kanyun首先YTKNetwork基于AFNetworking是原生支持SSL连接的,当然前提是你使用的SSL通信证书是被Apple信任的。不过由于大部分的标准CA机构所颁发证书价格昂贵或是其他一些原因(比如我们本身就是一个CA机构去用别人证书好像有点)想使用自签名证书来进行SSL连接,这个时候就发现YTKNetwork由于没有支持对AFNetworking的AFSecurityPolichttps://github.com/yuantiku/YTKNetwork/issues/125
16.为Nordicnrf52840dk创建代码签名证书的教程Nordic nrf52840-dk支持带ECDSA代码签名证书的自签名SHA256,本文主要介绍一下为Nordic nrf52840-dk创建代码签名证书的教程。 注:自签名的代码签名证书仅适合测试和学习使用,软件在正式发布之前建议部署由正规CA机构(如DigiCert、Sectigo等)颁发的代码签名证书。 https://cs.anxinssl.com/cs.anxinssl.com/support/757.html
17.Java应用与Kubernetes的Cert将Java应用程序与Kubernetes的Cert-Manager集成以实现TLS证书管理是一个相对复杂的过程,但通过以下步骤,你可以成功地实现这一目标。 1. 安装和配置Cert-Manager 首先,你需要在你的Kubernetes集群中安装Cert-Manager。Cert-Manager是一个自动管理TLS证书的工具,支持多种证书颁发机构(CA)。 https://m.yisu.com/zixun/924225.html
18.自动化管理SSL证书cert-manager是一个 kubernetes 的自定义插件,它通过 ACME 协议向支持 ACME 协议的 CA 机构(默认是 Let's Encrypt)申请证书,并将证书存放在 Secrets 中。 high-level-overview.png 它能与 nginx ingress 进行整合,根据 ingress 创建的资源,自行申请,更新证书并应用至 ingress 内。 https://www.jianshu.com/p/971814e2dbc1?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation
19.基于cert使用HTTPS需要向权威机构申请证书,并且需要付出一定的成本,如果需求数量多,则开支也相对增加。cert-manager是Kubernetes上的全能证书管理工具,支持利用cert-manager基于ACME协议与Let's Encrypt签发免费证书并为证书自动续期,实现永久免费使用证书。 工作原理 证书签发 https://blog.linganmin.cn/posts/2f918798/
20.CertManager提供安全合规自动高效的证书管理解决方案CertManager 作为高效的证书资产管理解决方案,帮助该公司解决了这些问题。通过证书发现模块,识别并管理域名级证书,并标记业务负责人,实现了证书资产的有序管理。CertManager 针对客户部署环境进行定制化开发,实现了在多样化环境中一键部署证书。 此外,CertManager 支持 API 与 CMDB 系统双向互通,日志推送到 SIEM 系统,帮助https://certmanager.cn/
21.部署SkypeforBusinessServer的统计信息管理器创建自签名证书 有关详细信息 总结:阅读本文,了解如何为Skype for Business Server部署 Statistics Manager。 Skype for Business Server 统计信息管理器是一个功能强大的工具,可让你实时查看 Skype for Business Server 运行状况和性能数据。 你可以每隔几秒钟轮询数百台服务器的性能数据,并且在统计信息管理器网站上立https://technet.microsoft.com/EN-US/library/mt604837.aspx