如何让LetsEncrypt在Traefik上使用通配符域？

Question

我正在尝试在Traefik实例上使用通配符域设置LetsEncrypt。Traefik已从Helm图表stable/traefik中安装。

我们使用Google来进行DNS，所以我想使用gcloud作为我的Traefik提供商。

如前所述，这是一个通配符。我正在尝试让Traefik管理LetsEncrypt for *.domain.com，并将domain.com作为SAN。

我目前正在使用一个K8s声明来存储acme.json文件，并且它已经填充了一个私钥，但是没有证书。

Traefik Helm值

# LetsEncrypt
acme:
  acmeLogging: true
  challengeType: 'dns-01'
  enabled: true
  domains:
    enabled: true
    main: '*.<domain>'
    sans:
        - <domain>
  defaultEntryPoints:
  - http
  - https
  dnsProvider:
    name: 'gcloud'
    gcloud:
      GCE_PROJECT: <redacted>
      GCE_SERVICE_ACCOUNT_FILE: /secrets/gcloud-credentials.json
  email: <redacted>
  entryPoint: 'https'
  entryPoints:
    http:
      address: ':80'
    https:
      address: ':443'
  persistence:
    enabled: true
    existingClaim: 'certificate-store'
  provider: 'gcloud'
  staging: true

# SSL configuration
ssl:
 enabled: true
 enforced: true

acme.json

{
  "Account": {
    "Email": "<redacted>",
    "Registration": {
      "body": {
        "status": "valid",
        "contact": [
          "mailto:<redacted>"
        ]
      },
      "uri": "https://acme-staging-v02.api.letsencrypt.org/acme/acct/9091953"
    },
    "PrivateKey": "<redacted>",
    "KeyType": "4096"
  },
  "Certificates": null,
  "HTTPChallenges": {},
  "TLSChallenges": {}
}

来自Traefik的所有响应都应该与该域的通配符LetsEncrypt证书一起服务，该域应该自动更新。

要让Traefik开始生成证书，还需要执行哪些其他步骤?默认情况下，我如何配置Traefik来使用此证书？(而不是内置的)

谢谢

Answer 1

我想出来了。我在我的Helm图表中设置了以下内容(除了或替换上面的内容)，覆盖YAML。

acme:
  caServer: 'https://acme-v02.api.letsencrypt.org/directory'
  domains:
    enabled: true
    domainsList:
      - main: '*.<domain>'
      - sans:
          - <domain>

我也摆脱了persistence.existingClaim，让Traefik提出了自己的主张，但是如果您已经有了一个现有的定义，那么保留这个定义不会给您带来任何问题！

所有Traefik入口服务器现在都提供正确的LetsEncrypt证书，无需任何其他配置。

谢谢Vasily的答复-你在acme.domains.domainsList部分是正确的。:-)

Answer 2

你100%肯定“域”一节应该是这样吗？在稳定/traefik图表中，我稍微看到了另一种域的格式：

  domains:
    enabled: false
    # List of sets of main and (optional) SANs to generate for
    # for wildcard certificates see https://docs.traefik.io/configuration/acme/#wildcard-domains
    domainsList:
    # - main: "*.example.com"
    # - sans:
    #   - "example.com"
    # - main: "*.example2.com"
    # - sans:
    #   - "test1.example2.com"
    #   - "test2.example2.com"

但可能只是新的图表版本，我不知道.如果您有旧的图表版本，那么您可以尝试升级.