Hello. Elkezdtem használni Ubuntu 20.04 lts alatt, a Kubernetes 1.20 mellett a Cert-Managert 1.2 es verzióját. Viszont belefutottam egy olyan problémába, hogy az acme http01 el nagyon szépen legenerálja a tanúsítványt a ClusterIssuer en keresztül viszont a letsencrypt a régi Doctored Durian Root CA X3 használja, akármit is állítok be neki annak ellenére, hogy a preferredChain ban "ISRG Root X1" vagy "ISRG Root R3" az állítok be neki. Valakinek van esetleg ötlete, hogy lehetne ezt a hibát orvosolni vagy mit módosítsak a konfigon hozzá? Köszönön, az aktuálisan használt konfigok lentebb mellékelve.
issuer.yaml:
apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
name: letsencrypt-cluster-issuer
spec:
acme:
server: https://acme-staging-v02.api.letsencrypt.org/directory
email: valami@domain.com
preferredChain: "ISRG Root R3"
privateKeySecretRef:
name: letsencrypt-cluster-issuer-key
solvers:
- http01:
ingress:
class: nginx
ingress.yaml:
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
annotations:
kubernetes.io/ingress.class: nginx
cert-manager.io/cluster-issuer: "letsencrypt-cluster-issuer"
name: demo-app-ingress
namespace: demo-app
spec:
tls:
- hosts:
- demo-app.demo.domain.com
secretName: demo-app-demo-domain-com-tls
rules:
- host: demo-app.demo.domain.com
http:
paths:
- path: /
pathType: Prefix
backend:
service:
name: demo-app
port:
number: 80
Generált tanúsítvány lejárt root ca val:
- 201 megtekintés
Hozzászólások
Én ezt látom:
$ kubectl explain ClusterIssuer.spec.acme.preferredChain
KIND: ClusterIssuer
VERSION: cert-manager.io/v1
FIELD: preferredChain <string>
DESCRIPTION:
PreferredChain is the chain to use if the ACME server outputs multiple.
PreferredChain is no guarantee that this one gets delivered by the ACME
endpoint. For example, for Let's Encrypt's DST crosssign you would use:
"DST Root CA X3" or "ISRG Root X1" for the newer Let's Encrypt root CA.
This value picks the first certificate bundle in the ACME alternative
chains that has a certificate with this value as its issuer's CN
(Kiemelés tőlem.)
- A hozzászóláshoz be kell jelentkezni
Hello. Igen, a dokumentációban is ugyan ez van. Viszont, kérdés, hogyan lehetne mégis ezt valahogy kierőszakolni belőle, ha visszarakom ISRG Root X1 re? Ha nem megy, inkább keresek egy másik alternatívát vagy hagyom egyelőre és kiépítek egy egyszerűbb automatizmust ennek a karbantartására. Már két napos szórakozás elég volt belőle. Köszönöm. Üdv Wolfwood
- A hozzászóláshoz be kell jelentkezni
Szerintem az eddig olvasottak fényében ez nem kliensoldalon dől el, és ilyenformán tartok attól, hogy más klienssel sem járnál jobban. (Ugyanakkor ha jól értem, ez egy szándékolt és csak a staging-et érintő helyzet.)
- A hozzászóláshoz be kell jelentkezni
Hello. Egyelőre igen, viszont nagyon örülnék, ha produtionra is be lehetne majd vezetni. A proxyn keresztül jelen pillanatban szépen megy a dolog és ott a certbot karban tartja a lejáró tanúsítványokat, viszont, ha már itt is van egy kész megoldás, valahogy jó lenne fellőni. Köszönöm. Üdv Wolfwood
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni