In diesem Artikel werde ich in Kürze beschreiben, wie Sie ein SSL-Zertifikat mit HTTP01-Validierung und ein Platzhalterzertifikat mit DNS01-Validierung im AWS-Beispiel erhalten. Die ZIP-Datei mit Ihrem Zertifikat wird auf Ihren Computer heruntergeladen. Sobald es entpackt ist, sehen Sie drei Dateien: *.crt, *.ca-bundle und *.p7b . Run kubectl create -f ingress.yaml – wir haben gerade das Ingress erstellt. Das Zertifikat sollte in etwa 30 Sekunden fertig sein. Das Zertifikat wird in einem geheimen Speicher im kube-System-Namespace gespeichert, wir haben diesen geheimen Schlüssel über alle Namespaces repliziert, sodass Entwickler in ihren eigenen Namespaces darauf zugreifen können. Basierend auf dieser vorherigen Geschichte begannen wir mit der Verwaltung mehrerer Zertifikate für verschiedene Anwendungen und es wurde immer schwieriger zu warten (auch wir erreichten die Geschwindigkeitslimits für Let`s-ecnrypt), also fanden wir mit Lucas Collino einen Weg, Wildcard-Zertifikate zu verwenden (wie empfohlen). Jetzt haben wir ClusterIssuer, und wir können neue Zertifikate erstellen. Für die Verwendung von Platzhalterzertifikaten, die ausstellen, müssen wir einen neuen Aussteller mit DNS01-Validierung einrichten. Hier ist eine Liste der verfügbaren DNS01-Anbieter. Zunächst werden alle über Namecheap erworbenen Zertifikate von einer Zertifizierungsstelle an die administrative E-Mail-Adresse gesendet, die während der Aktivierung angegeben wurde. Falls Sie aus irgendeinem Grund kein validiertes Zertifikat erhalten haben, können Sie das Zertifikat gemäß den folgenden Schritten in Ihr Konto herunterladen. Jetzt geht der gesamte Datenverkehr durch https, und wir haben gültige Zertifikate von Let es Encrypt.

Dies ermöglicht die Erstellung eines einzigen *.mycompany.com-Zertifikats, das für alle von uns unterstützten Anwendungen geeignet ist. *.ca-bundle ist notwendig, damit der Browser die CA-Signatur des Zertifikats überprüfen kann. Wenn das Paket fehlt, unvollständig oder defekt ist, kann der Browser die Website als nicht vertrauenswürdig markieren oder sogar die Verbindung einschränken, abhängig von einer Browserversion und Sicherheitseinstellungen. Ein Beitrag wurde in ein neues Thema aufgeteilt: Bicgrock Hosting: Hilfe beim SSL-Zertifikat So haben wir hier das Zertifikat für die Domain erstellt dummy.example.com: *.p7b Datei ist ein Zertifikat und CA Bundle in einer Datei kombiniert. Die Datei eignet sich für die Zertifikatinstallation auf Microsoft IIS- und Tomcat-Servern. Diese großen Anbieter stellen derzeit die Unterstützung für Let es Encrypt für benutzerdefinierte Domänen auf. Möglicherweise können Sie den Support in der Systemsteuerung aktivieren oder stellen fest, dass kürzlich Zertifikate für Ihre Mit diesen Diensten gehosteten Domänen ausgestellt wurden. Wir verwenden dieses Tool, um den geheimen Schlüssel mit dem Zertifikat über alle Namespaces hinweg zu replizieren.

HINWEIS: Es kann immer noch möglich sein, Let es Encrypt-Zertifikate mit diesen Anbietern zu erhalten und zu installieren, aber es erfordert die manuelle Installation Ihres eigenen Clients oder die Verwendung einer Drittanbieter-Website, und Ihr Hosting-Provider wird keine Unterstützung dafür bereitstellen. Für die Ausstellung einiger Zertifikate benötigen wir mindestens einen Aussteller oder ClusterIssuer. Der Unterschied zwischen ihnen, dass Issuer nur in einem Namespace arbeitet, im Gegensatz zu ClusterIssuer, das global für den Cluster arbeitet. *.crt ist eine Datei mit Ihrem Serverzertifikat, und das *ca-Bundle ist eine Datei mit der Zertifizierungsstellenkette, die auf Ihrem Server mit Ihrem Domänenzertifikat installiert werden soll. Sicherheit für den kleinen Geldbeutel. Mit wenig Aufwand, keine Einrichtungsgebühren und eine Verifizierung des Inhabers über E-Mail: Die Starter SSL-Zertifikate sind perfekt für kleinere Websites und Blogs.