安装cert-manager

kubectl apply -f https://github.com/jetstack/cert-manager/releases/latest/download/cert-manager.yaml

卸载 cert-manager

kubectl delete -f https://github.com/jetstack/cert-manager/releases/latest/download/cert-manager.yaml

DNS-01 校验方式签发证书

登录 cloudflare，点到 My Profile > API Tokens > Create Token 来创建 Token:

复制 Token 并妥善保管
将 Token 保存到 Secret 中:

apiVersion: v1
kind: Secret
metadata:
  name: cloudflare-api-token-secret
  namespace: cert-manager
type: Opaque
stringData:
  api-token: <API Token> # 粘贴 Token 到这里，不需要 base64 加密。

创建 ClusterIssuer

apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: letsencrypt-dns01
spec:
  acme:
    privateKeySecretRef:
      name: letsencrypt-dns01
    email: [email protected]
    server: https://acme-v02.api.letsencrypt.org/directory
    solvers:
    - dns01:
        cloudflare:
          email: [email protected] 
          apiTokenSecretRef:
            name: cloudflare-api-token-secret
            key: api-token

创建 Certificate

apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
 name: mydomain-com
 namespace: default
spec:
 dnsNames:
  - mydomain.com
  - "*.mydomain.com" 
 issuerRef:
   kind: ClusterIssuer
   name: letsencrypt-dns01 # 引用 ClusterIssuer，指示采用 dns01 方式进行校验
 secretName: mydomain-com-tls # 最终签发出来的证书会保存在这个 Secret 里面

获取和使用证书

创建好 Certificate 后，等一小会儿，我们可以 kubectl 查看是否签发成功

kubectl get certificate 
NAME                READY   SECRET                  AGE
mydomain-com   True    test-mydomain-com-tls   1m

如果 READY 为 False 表示失败，可以通过 describe 查看 event 来排查失败原因:

kubectl describe certificate mydomain-com

如果为 True 表示签发成功，证书就保存在我们所指定的 Secret 中 (上面的例子是 default/mydomain-com-tls)，可以通过 kubectl 查看:

kubectl get secret mydomain-com-tls -n default
...
data:
  tls.crt: <cert>
  tls.key: <private key>

其中 tls.crt 就是证书，tls.key 是密钥。

你可以将它们挂载到你需要证书的应用中，或者使用自建的 Ingress，可以直接在 Ingress 中引用 secret，示例:

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  annotations:
    # 添加指示要使用的issuer的注释。
    cert-manager.io/cluster-issuer: letsencrypt-dns01
  name: myIngress
  namespace: myIngress
spec:
  rules:
  - host: mydomain-com
    http:
      paths:
      - pathType: Prefix
        path: /
        backend:
          service:
            name: myservice
            port:
              number: 80
  tls: 
  - hosts:
    - mydomain-com
    secretName: mydomain-com-tls

kubernetes cert-manager免费签cloudflare证书

sagit • 2021 年 08 月 21 日

kubernetes cert-manager免费签cloudflare证书

安装cert-manager

DNS-01 校验方式签发证书

获取和使用证书

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

使用RouterOS，OSPF 和OpenWRT给国内外 IP 分流

TrueNAS APP应用添加TrueCharts社区catalog目录

RouterOS使用IP地址列表分流，分流给旁路由或者VPN

TrueNAS SCALE APP应用安装教程，自定义app安装

TrueNAS SCALE 常见错误排错（持续更新）

如何将普通打印机变成网络打印机

TrueNAS SCALE基础设置

PXE打造ISCSI 无盘系统ESXI WINPE Debian11安装盘配合TrueNAS SCALE 安装教程

ZFS文件系统RAID介绍

TrueNAS SCALE 如何正确的安装社区应用

kubernetes cert-manager免费签cloudflare证书

安装cert-manager

DNS-01 校验方式签发证书

获取和使用证书

发表评论 取消回复 使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

kubernetes cert-manager免费签cloudflare证书

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款