在Kubernetes中如何使用cert-mananager申请TLS 证书

这篇文章主要介绍“在Kubernetes中如何使用cert-mananager申请TLS 证书”，在日常操作中，相信很多人在在Kubernetes中如何使用cert-mananager申请TLS 证书问题上存在疑惑，小编查阅了各式资料，整理出简单好用的操作方法，希望对大家解答”在Kubernetes中如何使用cert-mananager申请TLS 证书”的疑惑有所帮助！接下来，请跟着小编一起来学习吧！

问题描述

在部署 cert-manager 成功后，便可以使用它申请 Let's Encrypt 证书。

解决方案

前置条件

已完成 cert-manager 的部署：参考 2.Installation 笔记；

TL;DR

我们使用提供 ACME 实现的 Let's Encrypt 服务来申请证书，并使用 DNS01 完成质询，所以应该创建类似如下 ClusterIssuer 资源文件：

apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: example-issuer
spec:
  acme:
    email: user@example.com
    server: https://acme-staging-v02.api.letsencrypt.org/directory
    privateKeySecretRef:
      name: example-issuer-account-key
    solvers:
    - dns01:
        cloudDNS:
          project: my-project
          serviceAccountSecretRef:
            name: prod-clouddns-svc-acct-secret
            key: service-account.json

但是，我们使用阿里云 DNS 服务，而不是 cloudDNS 服务，所以上述配置是不行的（无法完成 DNS01 质询）。然而，官方支持 ACMEDNS、Akamai、AzureDNS、CloudFlare、Google、Route53、DigitalOcean、RFC2136 这些 DNS01 服务商，并不包含我们所使用的阿里云服务商。好在 cert-manager 支持 Webhook 以允许定义自己的 DNS provider（这些便是 out-of-tree DNS provider），而这里便有开源的 AliDNS-Webhook 供我们使用（使用过程，参考 alidns-webhook/README.md at master 页面）

第一步、部署 AliDNS-Webhook 实现

结合 AliDNS-Webhook 文档，我们所使用的资源文件及部署过程如下：

./01-bundle.yaml
./02-alidns-secret.yaml
./03-letsencrypt-clusterissuer.yaml
./04-examplexyz-certificate.yaml

注意：1）./03-letsencrypt-clusterissuer.yaml 的 groupName: 与 ./01-bundle.yaml 的 group: 要保持一致，即要同时修改。默认为 acme.yourcompany.com 参数。

kubectl apply -f ./01-bundle.yaml
kubectl apply -f ./02-alidns-secret.yaml
kubectl apply -f ./03-letsencrypt-clusterissuer.yaml
kubectl apply -f ./04-examplexyz-certificate.yaml

第二步、检查证书是否申请成功

# kubectl describe -n default certificates.cert-manager.io example-xyz
...
Status:
  Conditions:
    Last Transition Time:  2021-05-07T01:30:33Z
    Message:               Certificate is up to date and has not expired
    Observed Generation:   1
    Reason:                Ready
    Status:                True
    Type:                  Ready
  Not After:               2021-08-05T00:30:32Z
  Not Before:              2021-05-07T00:30:32Z
  Renewal Time:            2021-07-06T00:30:32Z
  Revision:                1
Events:                    <none>

# kubectl get certificates.cert-manager.io
NAME                READY   SECRET              AGE
example-xyz         True    example-xyz         2m

// 此时，证书申请成功

切换到 Let's Encrypt 生产环境

证书申请成功之后，还有最后一件事情：我们这里仅是在 Let's Encrypt 的 Staging 环境中完成申请证书的测试，还需要切换到 Let's Encrypt 生产环境。

修改 ./03-letsencrypt-clusterissuer.yaml 的 server: 为 https://acme-v02.api.letsencrypt.org/directory 以使用生产环境来申请真正的证书。

补充说明

更多 DNS 服务商，参考 cert-manager-webhook · GitHub Topics 页面。

常见错误汇总

... is forbidden ... cannot create resource "alidns" in API group ... at the cluster scope

问题描述：

alidns.acme.example.com is forbidden: User "system:serviceaccount:cert-manager:cert-manager" 
cannot create resource "alidns" in API group "acme.example.com" at the cluster scope

原因分析：./03-letsencrypt-clusterissuer.yaml 的 groupName: 未与 ./01-bundle.yaml 的 group: 要保持一致

解决方案：保持 groupName: 与 group: 一致。

到此，关于“在Kubernetes中如何使用cert-mananager申请TLS 证书”的学习就结束了，希望能够解决大家的疑惑。理论与实践的搭配能更好的帮助大家学习，快去试试吧！若想继续学习更多相关知识，请继续关注亿速云网站，小编会继续努力为大家带来更多实用的文章！