Comments 17
Не нужно. Для частных сетей никакие летсэнкрипты не нужный, а платные сертификаты тем более.
Самоподписанный сертификат — норм, но это только начало пути, а не конец. Дальше этим сертификатом подписываются другие сертификаты. А клиентам подсовывается первый, самоподписанный. Можно, конечно, усложнить и добавить пару промежуточных сертификатов.
частные сети — это что в Вашем понимании? В идеале — частных сетей вообще не должно быть, т.к. их наличие как правило — большая головная боль, security through obscurity и все такое. Я уж не говорю о том, что в нынешних реалиях бизнес без dns записи вообще нельзя вести.
Спец предназначения типа сети для военных не рассматриваем
А распихать по всем машинам, с которых сотрудники могут работать, свой сертификат в доверенные задача непростая.
непростая, но не нереальная
Вы вообще читаете, что я пишу?
Я нигде не предлагал это делать — просто констатировал, что "расписать сертификаты не невозможно". Ах, да, в актив директори (домене виндовом) эта проблема решается вообще на раз.
Для Корп техники при наличии централизованной выдачи — тоже просто.
В случае удаленщиков с BYOD — да, сложнее
С каких это пор, сертификаты, созданные неизвестно кем, стали надёжнее своих собственных?
В случае успеха в выводе describe certificate le-tls появится запись Certificate issued successfully.
Должно быть: describe certificate le-crt
Отличная стаття!!! Спасибо
Created Challenge resource "le-crt-732179877-4179246960-2125879149" for domain "xxxxx.westus.cloudapp.azure.com"
kubectl.exe describe challenges le-crt-732179877-4179246960-2125879149
Error from server (NotFound): challenges.acme.cert-manager.io "le-crt-732179877-4179246960-2125879149" not found
Подскажите пожалуйста в чем может быть проблема? Возможно Вы пропустили какой-то шаг?
не выписался серт. Используется штатный куберовский
Смотрите внимательно логи всех компонентов cert-manager
apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
name: app
spec:
tls:
- hosts:
- "yet-another.website"
secretName: tls-secret
cert-manager.io/cluster-issuer: letsencrypt
для clusterIssuer, который умеет запрашивать сертификаты для всех объектов в кластере, и вторая cert-manager.io/issuer: letsencrypt
для issuer, который только в своем namespace работает.Ситуация, когда поставили cert-manager, создали ClusterIssuer, а в аннотации написали просто issuer и ничего не работает — очень часто бывают
SSL-сертификаты от Let's Encrypt с cert-manager в Kubernetes