Cert Manager 申请 SSL 证书流程及相关概念

Cert Manager 申请 SSL 证书流程及相关概念 - 一

2024-02-05 130

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

本文涉及的产品

容器服务 Serverless 版 ACK Serverless，952元额度多规格

容器服务 Serverless 版 ACK Serverless，317元额度多规格

简介： Cert Manager 申请 SSL 证书流程及相关概念 - 一

2022.3.9 用 cert-manager 申请成功通配符证书 (*.ewhisper.cn), 2022.4.30 该证书距离过期还有 30 天，cert-manager 进行自动续期，但是却失败了。😱😱😱

然后过了几天，在 2022.5.8, 最终成功了。如下图：

续期成功的 ewhisper.cn 通配符证书

正好借着这个情况捋一下 cert-manager 的 SSL 证书申请流程以及过程中涉及到的相关概念。

中英文对照表

英文	英文 - K8S CRD	中文	备注
certificates	`Certificate`	证书	`certificates.cert-manager.io/v1`
certificate issuers	`Issuer`	证书颁发者	`issuers.cert-manager.io`
	`ClusterIssuer`	集群证书颁发者	`clusterissuers.cert-manager.io`
certificate request	`CertificateRequest`	证书申请	`certificaterequests.cert-manager.io`
order	`Order`	（证书）订单	`orders.acme.cert-manager.io`
challenge	`Challenge`	（证书）挑战	`challenges.acme.cert-manager.io`
SelfSigned		自签名	cert-manager Issuer 的一种
CA		证书颁发机构	Certificate Authority 的缩写； cert-manager Issuer 的一种
Vault		金库	cert-manager Issuer 的一种，即 Hashicorp Vault
Venafi			Venafi 在线证书办理服务，目前用的不多。
External		外部	cert-manager Issuer 的一种
ACME		自动证书管理环境	Automated Certificate Management Environment 的缩写； cert-manager Issuer, 包括 HTTP01 和 DNS01

Cert Manager 简介

cert-manager 在 Kubernetes 集群中添加了证书 (certificates) 和证书颁发者 (certificate issuers) 作为资源类型，并简化了获取、更新和使用这些证书的过程。

它可以从各种支持的来源签发证书，包括 Let’s Encrypt、HashiCorp Vault 和 Venafi 以及私人 PKI。

📝Notes:

常用的主流来源是：Let’s Encrypt

它将确保证书是有效的和最新的，并试图在到期前的一个配置时间内更新证书。

解释 cert-manager 架构的高层次概览图

Issuer（证书颁发者）

在安装了 cert-manager 之后，需要配置的第一件事是一个证书颁发者，然后你可以用它来签发证书。

cert-manager 带有一些内置的证书颁发者，它们被表示为在 cert-manager.io 组中。除了内置类型外，你还可以安装外部证书颁发者。内置和外部证书颁发者的待遇是一样的，配置也类似。

有以下几种证书颁发者类型：

自签名 (SelfSigned)
CA（证书颁发机构）
Hashicorp Vault（金库）
Venafi (SaaS 服务）
External（外部）
ACME（自动证书管理环境）

HTTP01
DNS01

这里先不做详细介绍，目前我的环境有的证书颁发者示例如下：

SelfSigned

如下：

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  annotations:
    meta.helm.sh/release-name: cert-manager-webhook-dnspod
    meta.helm.sh/release-namespace: cert-manager
  labels:
    app: cert-manager-webhook-dnspod
    app.kubernetes.io/managed-by: Helm
    chart: cert-manager-webhook-dnspod-1.2.0
    heritage: Helm
    release: cert-manager-webhook-dnspod
  name: cert-manager-webhook-dnspod-selfsign
  namespace: cert-manager
status:
  conditions:
    - lastTransitionTime: '2022-03-01T13:38:53Z'
      observedGeneration: 1
      reason: IsReady
      status: 'True'
      type: Ready
spec:
  selfSigned: {}
YAML

ACME - HTTP01

如下：

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  annotations:
    meta.helm.sh/release-name: rancher
    meta.helm.sh/release-namespace: cattle-system
  generation: 2
  labels:
    app: rancher
    app.kubernetes.io/managed-by: Helm
    chart: rancher-2.6.4
    heritage: Helm
    release: rancher
  name: rancher
  namespace: cattle-system
status:
  acme: {}
  conditions:
    - lastTransitionTime: '2022-03-08T14:34:08Z'
      message: The ACME account was registered with the ACME server
      observedGeneration: 2
      reason: ACMEAccountRegistered
      status: 'True'
      type: Ready
spec:
  acme:
    preferredChain: ''
    privateKeySecretRef:
      name: letsencrypt-production
    server: https://acme-v02.api.letsencrypt.org/directory
    solvers:
      - http01:
          ingress: {}
YAML

ACME - DNS01

如下：

apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  annotations:
    meta.helm.sh/release-name: cert-manager-webhook-dnspod
    meta.helm.sh/release-namespace: cert-manager
  labels:
    app: cert-manager-webhook-dnspod
    app.kubernetes.io/managed-by: Helm
    chart: cert-manager-webhook-dnspod-1.2.0
    heritage: Helm
    release: cert-manager-webhook-dnspod
status:
  acme:
    lastRegisteredEmail: cuikaidong@foxmail.com
    uri: https://acme-v02.api.letsencrypt.org/acme/acct/431637010
  conditions:
    - lastTransitionTime: '2022-03-01T13:38:55Z'
      message: The ACME account was registered with the ACME server
      observedGeneration: 1
      reason: ACMEAccountRegistered
      status: 'True'
      type: Ready
spec:
  acme:
    email: cuikaidong@foxmail.com
    preferredChain: ''
    privateKeySecretRef:
      name: cert-manager-webhook-dnspod-letsencrypt
    server: https://acme-v02.api.letsencrypt.org/directory
    solvers:
      - dns01:
          webhook:
            config:
              secretId: <my-secret-id>
              secretKeyRef:
                key: secret-key
                name: cert-manager-webhook-dnspod-secret
              ttl: 600
            groupName: acme.imroc.cc
            solverName: dnspod
YAML