Je veux créer une entrée HTTPS pour mon infrastructure de microservice, sur Google Kubettes Engine, pour mon Strong> Environment Test Strong>. Une entrée HTTP de base fonctionne bien et je veux maintenant créer une sécurité sécurisée. Je n'ai pas de domaine, je veux que mon interface utilisateur effectue des demandes via https directement sur l'entrée IP d'entrée.
J'ai utilisé, retirons (SSLForFree Site Web) pour créer un certificat pour une adresse IP accessible à moi. Mais cette adresse IP que j'ai utilisée pour le nom de domaine dans le certificat n'est pas l'adresse IP sur laquelle l'entrée a été créée. Maintenant, toutes les demandes renvoient 401 et je ne sais pas pourquoi. Première erreur Le navigateur renvoie est le suivant: P>
Websites prove their identity via certificates. Firefox does not trust this site because it uses a certificate that is not valid for 35.241.60.223. The certificate is only valid for 35.228.159.214. Error code: SEC_ERROR_UNKNOWN_ISSUER
3 Réponses :
comme de mes connaissances que vous ne pouvez pas utiliser, cryptez pour un certificat pour une seule adresse IP. Vous avez besoin d'un nom de domaine car le certificat est utilisé pour "preuve" que votre propriété ou votre contrôle sur ce domaine. Voir https: //community.letsencrypt .org / t / certificat-for-Public-IP-Sans-domain-nom / 6082/14 Vos options seraient d'utiliser des certificats SSL auto-signés ou d'enregistrer une sorte de domaine bon marché (sous) à des fins de test que vous pouvez alors indiquer à l'adresse IP d'entrée. P>
Je reçois donc un domaine, créez un certificat pour ce domaine. Après cela, je crée l'entrée avec ce certificat, rediriger l'URL du domaine à l'URL d'INGRESS et cela devrait fonctionner?
Cela dépend de la manière dont vous créez vos certificats et vos entrées. Où obtenez-vous le certificat LETSENCRYPT? Utilisez-vous le CERT-Manager au sein de Kubettes? Ensuite, jetez un coup d'œil à l'autre réponse, l'entrée doit être configurée pour utiliser LETSENCRYPT. Mais pour que cela fonctionne, votre nom de domaine doit déjà indiquer la propriété intellectuelle. Sinon, cela dépend de l'ingression que vous utilisez et de la manière dont vous pouvez insérer votre certificat à votre entrée. Généralement via des secrets de Kubettes ou similaires.
J'ai fait ça et la demande Comanddev.tk/business-owner-Service/actuateur/Health < / a> retour sec_error_unknown_issuer
Cette réponse est uniquement sur Firefox, sur chrome, je reçois ERR_TIMED_OUT
Cela se produit probablement en raison de la configuration de Clusterissuer / émetteur + Ingress que vous avez. Veuillez suivre les étapes suivantes pour avoir la bonne configuration:
apiVersion: cert-manager.io/v1alpha2 kind: Issuer metadata: name: letsencrypt-prod spec: acme: # The ACME server URL server: https://acme-v02.api.letsencrypt.org/directory # Email address used for ACME registration email: user@example.com # Name of a secret used to store the ACME account private key privateKeySecretRef: name: letsencrypt-prod # Enable the HTTP-01 challenge provider solvers: - http01: ingress: class: nginx --- apiVersion: extensions/v1beta1 kind: Ingress metadata: name: kuard annotations: kubernetes.io/ingress.class: "nginx" cert-manager.io/issuer: "letsencrypt-prod" spec: tls: - hosts: - example.example.com (you probably have an DNS default) secretName: quickstart-example-tls rules: - host: example.example.com http: paths: - path: / backend: serviceName: kuard servicePort: 80
J'utilise mes propres conteneurs (qui sont essentiellement des applications Springboot). Quelle ingress.class est-ce? Je ne pense pas que ce soit nginx
retour à la question initiale. Si vous ne faites que tester, vous n'avez pas nécessairement besoin d'obtenir un serveur DNS pour pouvoir obtenir un cert à partir dusencrypt. Vous pouvez utiliser des services tels que REFS: P>
pnip.io code> ou
xip.io code> qui convertissez vos adresses IP sur les noms DNS et résoudre sans aucune configuration. Vous pouvez utiliser HTTPS01 Challenge pour résoudre avec lesencrypt.
cert-manager code> simplifierait cette configuration pour vous. P>
err_timedout code> serait probablement un problème de réseautage. Vous obtiendrez une réponse à partir du contrôleur d'entrée si vous le frappez. Assurez-vous que votre contrôleur d'entrée est opérationnel, s'il s'agit alors de rechercher des périphériques de réseautage devant le cluster. P>
Comme vous utilisez GKE, vous souhaitez utiliser
INGRESSAGE GCP CODE> ou
NGINX INGRESS CODE>? Cette solution fonctionnerait-elle pour vous Utilisation de certificats SSL gérés Google a>. Vous pouvez réserver une adresse IP globale.
J'utilise GKE, et je veux une entrée GCP
Votre question initiale était la suivante: comment créer un certificat SSL et il a été répondu. Cette deuxième question devrait être créée séparément comme étant différente.