Автоматический выпуск SSL-сертификатов. Используем Kubernetes и FreeIPA

[ALexhha]

Чтобы воспользоваться этим способом выпуска SSL-сертификатов, у вас
должны быть лишний кластер Kubernetes и FreeIPA, между которыми
настроена сетевая связность.

ну так то да, а чем не устроил тот же certbot ?

[xahyka]

Приветствую! Данная статья является одним из кейсов, аля "Как можно зайти в дом".
Certbot выпускал в основном для LE-сертификатов, не доводилось менять его логику на что-то другое.

Если так получилось, что в компании хочется выпускать сертификаты со своим CA и приклеивать к своим внутренним сервисам - данный кейс поможет решить проблему (в том числе и обновление). Больше решений - больше выбора =)

[xitriy87]

А зачем у вас у ClusterIssuer указан namespace?

[xahyka]

И правда - очепятка с моей стороны. Спасибо что указал

[McLotos]

а у меня для этого просто запущен контейнер jwilder/nginx-proxy (который by default у меня используется на всех серверах) и к нему запущен контейнер lensencrypt-nginx-companion, тоже вроде от jwilder и я вообще не парюсь о сертификатах уж несколько лет. При этом контейнеры с nginx конкретных проектов, настроены под работу без ssl, что позволяет без плясок с бубном запускать их даже локально. А когда появляется новый nginx с новым доменом, то jwilder сам выпускает для него новый сертификат и сам следит за его статусом