问题标签 [cert-manager]

我正在尝试在我的 minikube 集群上设置 cert-manager v0.13.0。我已经按照他们的教程进行操作，但似乎 cert-manager pod 一直超时，试图访问 LetsEncrypt API 服务器：

这是我的 acme yaml：

cert-manager pod 日志显示超时：

所以我设置了一个 bash pod 来检查 API 的可达性，似乎没有问题：

更新：根据要求，这是来自 bash pod 的 /etc/resolve.conf 文件：

但我不知道如何从 cert-manager pod 中获取相同的文件，因为它不允许我打开 /bin/sh 或 /bin/bash。

我不知道为什么会发生超时。有什么想法吗？

我正在尝试在 k8s 上的几个 Ingress 中使用 ssl。第一次查找将我带到cert-manager，但我无法使其工作，我怀疑原因是因为我的云提供商（ovh）不受支持。

我正在使用kubernetes 1.17和cert-manager 0.13.0

我遇到的第一个错误与web hook secret相关，没有任何解决方案适合我。

因此，我在没有 web-hook 的情况下部署了 cert-manager，但我仍然无法启动并运行 ClusterIssuer。当我应用以下内容时：

创建了一个clusterissuer，但是当我在其上运行描述时没有状态。

因此，经过新的搜索（以及超过一天的挣扎），我发现ovh 可能与 cert-manager 不兼容， 这让我认为我正在浪费时间使用这种策略。因此，我正在寻找新的策略。

我如何使用 certbot，有一个 docker 镜像certbot/certbot来创建和更新 kubernetes 机密中的一些 ssl 证书，以便在我的 Ingress 中使用它们？有没有其他不需要 GKE、AWS、简单、便携、生产就绪等的方法......

真诚的，我

开始时cert-manager我收到以下消息

TLS handshake error from 10.42.152.128:38676: EOF

有趣的是，没有具有该 IP 的 pod

cert-manager豆荚上的类似错误

我有两个ClusterIssuer

但还没有证书：

当我尝试申请证书时，我得到了同样的错误

我不确定如何才能找到问题的根源。我跑去sonobouy看看这是否对我有帮助，但是在我的 3 个节点中的 2 个节点上测试失败。

对于失败的节点，我可以在sonobouy日志中看到这一点

我对 kube-lego 非常满意，它为我管理了数千个证书。我现在正在迁移到 cert-manager，它是继任者，但是在我的测试部署中，我注意到当 cert-manager 看到一个现有证书还有 33 天到期时，它用一个新证书替换它，即使它没有真的需要。

我担心当我从 kube-lego 切换到 cert-manager 时，cert-manager 会一次性用数千个证书请求淹没 Let's Encrypt。我希望 cert-manager 使用以前由 kube-lego 管理的现有证书，直到每个证书接近其到期日期，因为它将更均匀地间隔证书请求。

是否可以告诉 cert-manager 使用现有证书而不请求新证书？

我正在努力让 cert-manager 从 let's encrypt 颁发证书，我可以在 Google Cloud Kubernetes 中使用我的入口。

我有一个在默认命名空间中运行部署、服务和入口的集群。我还在 namecheap 注册了一个域，并从我的入口向 IP 地址添加了一条 A 记录。现在我可以使用http访问该网站，一切都很好。现在我想转移到 https 并且事情不起作用。

我已经安装了证书管理器：

我验证了 cert-manager 正在运行：

现在我kubectl apply -f letsencrypt-prod.yaml在默认命名空间中创建了一个 ClusterIssuer：

并添加了一个证书kubectl apply -f certificate.yaml：

这是我的入口：

现在当我运行时kubectl describe certificate my-certs没有事件：

在 Google Cloud Console 中，我看到消息“找不到 TLS 证书。继续设置负载平衡器以提供 HTTP”用于入口。

这里有什么问题或我错过了什么？

我正在尝试“启用自动 TLS 证书配置”

我有一个工作的 ClusterIssuer（状态：“True”），我可以手动创建证书（状态：“True”）。

我正在尝试启用Automatic TLS provision mode。

环境设置：

我有以下网关：

并且在申请时：

我可以（注意：httpsRedirect：false）：

但是在尝试使用 https 时：

还：

Knative 文档状态：“在这种模式下，将为每个命名空间配置一个证书，并在 Knative 中重复使用”，但我在任何命名空间中都看不到任何证书。

请注意，kubectl get ksvcurl 是 http 而不是 https：

我花了一周时间尝试在 Google Kubernetes Engine 上设置Knative 自动启用 tls 。

它根本不起作用！

现在我刚刚发现了这一点，我不愿意完全混淆一切。

这会阻止现有的 Kubernetes（GKE）吗？

如果我选择第二个，它会为 https 开放吗？

我创建了两个文件，一个用于 ClusterIssuer，第二个用于证书。我的域是一个 example.com，我需要使用通配符创建一个新的子域，*.testing.example.com并且我已经在 Route53 中创建了一个*.testing.example.com使用 A 记录调用并使用 nlb 映射的条目。

以下是我的个人资料，这对我有好处，但我收到错误“msg”=“传播检查失败”“error”=“\“testing.example.com\”的 DNS 记录“尚未传播”

ClusterIssuer.yaml

我在 Azure 中有一个 Kubernetes 集群版本 1.15.5，我在其中安装了cert-manager版本 v0.14.0

它可以很好地自动发布让我们根据有效的 DNS 名称加密证书：MY_DOMAIN指向入口控制器的外部 IP 地址。

我也希望能够使用例如certbot来做同样的事情。我试图在我的集群上运行 certbot：

但它失败了：

因此，cert-manager会以某种方式自动负责在挑战期间创建文件并使其在以下位置可用：

但是我不确定在使用certbot时我是如何做到这一点的，或者是否有其他方法可以做到这一点？

根据以下建议，我尝试安装 Kube lego (0.1.2)（对于旧版 1.8 集群），但似乎失败了：

所以我尝试升级到：

https://acme-staging-v02.api.letsencrypt.org/directory

但后来我得到：

我发现：

https://github.com/jetstack/kube-lego/issues/301

所以看起来 kube-lego 不能与 ACME 版本 2 一起使用 :-(

我正在尝试按照此处的说明设置带有 TLS 的入口和自动预配的证书，以进行新的 AKS 部署。

我最初配置了所有这些，但未能获得分配给 LB 的静态 IP 地址，因为我使用旧脚本创建了带有错误 SKU 的 IP 地址。修复 IP 地址后，我尝试使用生产服务器重新创建集群颁发者、入口和证书，但没有成功。我从以下 kubectl 命令的顺序中看到的错误：

kubectl describe order ao-tls-secret-12341234-12341234

原因：无法完成订单：400 urn:ietf:params:acme:error:malformed: 错误完成订单 :: 证书公钥必须不同于帐户密钥

我尝试切换到letsencrypt登台服务器并立即收到证书。切换回生产服务器，它再次挂起。