Azure应用服务证书ssl到AKS入口

Question

我从Azure应用服务证书购买了一个WildCard ssl证书。我也有AKS集群。我想把它藏在秘密里，用在入口处。购买后，将秘密文件存储在Azure密钥库中。我下载了它，然后导入创建Azure密钥库证书。然后，使用akv2k8s，我在AKS中创建了一个秘密文件，并在入口中使用它。在我的应用程序抛出'err_cert_authority_invalid‘错误之后。我做错什么了吗?？没有那么多关于ssl和入口的文档。在许多文章中，他们使用“让加密”或“证书管理器”。

https://akv2k8s.io/

​

​

Answer 1

这可能是因为错误地解释了证书是由暂存环境签发的，反之亦然。因此，为此，我建议您使用ingress注释'certmanager.k8s.io/cluster-issuer'：‘letsencrypt-暂存’检查‘certmanager.k8s.io/cluster-issuer’：舵机图表。这将导致从假发行人那里得到证书。因此，即使您的证书在AKS中作为一个秘密被嵌入，由于证书哈希验证链在两者之间被打破，它也将显示为从假颁发者处发出的。为此，请在卷发下面找到：

   ‘ # curl -vkI https://blog.my-domain.com/
     ...
     * Server certificate:
     *  subject: CN=blog.my-domain.com
     *  start date: May 13 08:51:13 2019 GMT
     *  expire date: Aug 11 08:51:13 2019 GMT
     *  issuer: CN=Fake LE Intermediate X1
     ... ‘

然后，列出以下内容：-

  ‘ # kubectl get ing
    NAME             HOSTS                              ADDRESS          PORTS     AGE
    blog-wordpress   blog.my-domain.com   35.200.214.186   80, 443   8m48s ’

以及证书：-

  ‘ # kubectl get certificates
    NAME                  READY   SECRET                AGE
    wordpress.local-tls   True    wordpress.local-tls   9m ’

然后，将证书的签发人改为原来已签发证书的机构，如下所示：

   ‘ # kubectl edit ing blog-wordpress ’

并按以下方式更新注释：

  ‘ certmanager.k8s.io/cluster-issuer: letsencrypt-prod ’

一旦入口清单被更新，那么证书清单将自动更新。要验证它，请打开‘wordpress.local-tls’证书资源的清单，如下所示：

 ‘ kubectl edit certificate wordpress.local-tls ’

发行人的最新资料如下：

‘ kubectl edit certificate wordpress.local-tls ’

这样，您就可以在AKS中导入证书机密。欲知更多详情，我建议你参阅以下连结以取得更多详情：

https://github.com/vmware-archive/kube-prod-runtime/issues/532