SSL-сертификаты от Let's Encrypt с cert-manager в Kubernetes

[ip1981]

Не нужно. Для частных сетей никакие летсэнкрипты не нужный, а платные сертификаты тем более.

Самоподписанный сертификат — норм, но это только начало пути, а не конец. Дальше этим сертификатом подписываются другие сертификаты. А клиентам подсовывается первый, самоподписанный. Можно, конечно, усложнить и добавить пару промежуточных сертификатов.

[gecube]

частные сети — это что в Вашем понимании? В идеале — частных сетей вообще не должно быть, т.к. их наличие как правило — большая головная боль, security through obscurity и все такое. Я уж не говорю о том, что в нынешних реалиях бизнес без dns записи вообще нельзя вести.
Спец предназначения типа сети для военных не рассматриваем

[ProFfeSsoRr]

И как же клиенты удостоверятся в его подлинности? В браузерах всё идет к тому, что кнопки «игнорировать» на сайтах с кривыми сертификатами скоро не будет. А распихать по всем машинам, с которых сотрудники могут работать, свой сертификат в доверенные задача непростая.

[gecube]

А распихать по всем машинам, с которых сотрудники могут работать, свой сертификат в доверенные задача непростая.

непростая, но не нереальная

[ProFfeSsoRr]

Ну так и зачем идти очень сложным путем, который вы предлагаете, вместо легкого — использовать lets encrypt? Неужели своё время не жалко?

[gecube]

Вы вообще читаете, что я пишу?
Я нигде не предлагал это делать — просто констатировал, что "расписать сертификаты не невозможно". Ах, да, в актив директори (домене виндовом) эта проблема решается вообще на раз.
Для Корп техники при наличии централизованной выдачи — тоже просто.
В случае удаленщиков с BYOD — да, сложнее

[ProFfeSsoRr]

AD + Pro версии винды = делается. AD + линукс — сложнее, сильно сложнее. А когда на это добавляется «да еще на удаленке», «да еще со смартфона», «да у нас всё в kubernetes крутится» и еще и еще — эпопея с самоподписным сертификатом становится уберсложной.

[ip1981]

С каких это пор, сертификаты, созданные неизвестно кем, стали надёжнее своих собственных?

[ProFfeSsoRr]

Ну вообще с точки зрения клиентского софта «созданный неизвестно кем» это и есть «свой собственный». А «надежный» это как раз lets encrypt или купленный.

[MRomaV]

Опечатка:

В случае успеха в выводе describe certificate le-tls появится запись Certificate issued successfully.

Должно быть: describe certificate le-crt

Отличная стаття!!! Спасибо

[xandr0s]

Благодарю, поправил

[MRomaV]

Подскажите пожалуйста, почему не создается challenges?

Created Challenge resource "le-crt-732179877-4179246960-2125879149" for domain "xxxxx.westus.cloudapp.azure.com"

kubectl.exe describe challenges le-crt-732179877-4179246960-2125879149

Error from server (NotFound): challenges.acme.cert-manager.io "le-crt-732179877-4179246960-2125879149" not found

[xandr0s]

Вероятно сертификат уже выписался к моменту describe? Более детальная информация обычно содержится в логах cert-manager'а

[MRomaV]

Спасибо за ответ. Но после всех шагов Сертификат не используется, в браузере: Certificate (invalid)


Подскажите пожалуйста в чем может быть проблема? Возможно Вы пропустили какой-то шаг?

[gecube]

не выписался серт. Используется штатный куберовский
Смотрите внимательно логи всех компонентов cert-manager

[mthps]

Возможно в Ingress не указан хост и секрет. Вот эта часть:

apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
  name: app
spec:
  tls:
  - hosts:
    - "yet-another.website"
    secretName: tls-secret

[LuckySB]

Стоит добавить, что есть две аннотации, одна cert-manager.io/cluster-issuer: letsencrypt для clusterIssuer, который умеет запрашивать сертификаты для всех объектов в кластере, и вторая cert-manager.io/issuer: letsencrypt для issuer, который только в своем namespace работает.

Ситуация, когда поставили cert-manager, создали ClusterIssuer, а в аннотации написали просто issuer и ничего не работает — очень часто бывают