1

自分の kubernetes クラスターに署名された機関による証明書を使用したいと考えています。

そのため、最初にコントローラーをインストールして適切に構成しようとします。

コントローラーは CoreOS 安定版 (1185.3.0) にインストールされます。

私が理解している限り、kubeelet api-server には次の証明書が必要です。

certificate-authority: ca.pem
client-certificate: apiserver.pem
client-key: apiserver-ke.pem

certbot コンテナーを使用して letsencrypt を実行すると、次の証明書が作成されました。

cert = /etc/letsencrypt/live/coreos-2.tux-in.com/cert.pem
privkey = /etc/letsencrypt/live/coreos-2.tux-in.com/privkey.pem
chain = /etc/letsencrypt/live/coreos-2.tux-in.com/chain.pem
fullchain = /etc/letsencrypt/live/coreos-2.tux-in.com/fullchain.pem

したがって、cert.pem はクライアント証明書、privkey.pem はクライアント キーです。認証局がなく、何をすべきかわからないチェーン証明書があります。

次のコマンドを使用して、certbot docker イメージで rkt を使用して証明書を作成しました。

rkt --insecure-options=image --port 443-tcp:443 run  docker://deliverous/certbot \
  --volume letsencrypt-etc,kind=host,source=/opt/letsencrypt-etc \
  --mount volume=letsencrypt-etc,target=/etc/letsencrypt \
  --volume resolv-conf,kind=host,source=/etc/resolv.conf \
  --mount volume=resolv-conf,target=/etc/resolv.conf \
  --volume certbot-tls-certs,kind=host,source=/opt/certbot-tls-certs \
  --mount volume=certbot-tls-certs,target=/var/www/tls-certs \
  -- certonly -w /var/www/tls-certs -d coreos-2.tux-in.com \
  --email kfirufk@gmail.com --agree-tos --standalone --preferred-challenges tls-sni-01

だから..ここから先に進む方法がわかりません。

この問題に関する情報をいただければ幸いです。

ありがとう

4

2 に答える 2

0

@MrEが言ったことは正しいです。

kubernetes クラスター内の各クライアントは、その名前と IP を登録する必要があります。代替名を使用する必要があります。これらはすべて、letsencrypt ではサポートされていません。

letsencrypt は、基本的に Web サーバー用の単純な証明書生成です。letsencrypt は、ワイルドカードをサポートしていないか、サポートする予定はありません。とにかく..letsencryptは私の場合の正しい解決策ではありません。

于 2016-11-27T12:42:44.290 に答える