已添加SSL证书，但显示“Kubernetes入口控制器伪造证书”

w1jd8yoj 于 2022-11-14 发布在 Kubernetes

关注(0)|答案(3)|浏览(139)

我遇到了以下问题。我是GCP/Cloud的新手，我已经在GKE中创建了一个集群，并在那里部署了我们的应用程序，在集群中安装了nginx作为POD，我们公司有一个授权的SSL证书，我已经在GCP中的证书中上传了该证书。
在DNS服务中，我已经创建了一个与入口IP匹配的A记录。当我在浏览器中调用URL时，它仍然显示网站仍然不安全，并显示消息“Kubernetes入口控制器假证书”。
我使用了以下指南https://cloud.google.com/load-balancing/docs/ssl-certificates/self-managed-certs#console_1
但是，我无法执行步骤3“将SSL证书与目标代理相关联”，因为它要求“URLMap”，而我无法在GCP控制台中找到它。
有没有人像我一样经历过同样的问题或者如果有人帮助我，那就太好了。
谢谢你，祝你好运！

ssl

来源：https://stackoverflow.com/questions/71127151/ssl-certificate-added-but-shows-kubernetes-ingress-controller-fake-certificate

3条答案

按热度按时间

sr4lhrrt1#

我能够通过向ingress-nginx-controller部署添加一个额外的参数来解决这个问题。
对于上下文：我的TLS密钥位于默认名称空间中，名为letsencrypt-secret-prod，因此我想将其添加为Nginx控制器的默认SSL证书。
我的第一个解决方案是编辑Nginx控制器的deployment.yaml，并在containers[0].args列表的末尾添加以下行：

- '--default-ssl-certificate=default/letsencrypt-secret-prod'

这使得yaml的那一部分看起来像这样：

containers:
        - name: controller
          image: >-
            k8s.gcr.io/ingress-nginx/controller:v1.2.0-beta.0@sha256:92115f5062568ebbcd450cd2cf9bffdef8df9fc61e7d5868ba8a7c9d773e0961
          args:
            - /nginx-ingress-controller
            - '--publish-service=$(POD_NAMESPACE)/ingress-nginx-controller'
            - '--election-id=ingress-controller-leader'
            - '--controller-class=k8s.io/ingress-nginx'
            - '--ingress-class=nginx'
            - '--configmap=$(POD_NAMESPACE)/ingress-nginx-controller'
            - '--validating-webhook=:8443'
            - '--validating-webhook-certificate=/usr/local/certificates/cert'
            - '--validating-webhook-key=/usr/local/certificates/key'
            - '--default-ssl-certificate=default/letsencrypt-secret-prod'

但我用的是掌舵图：ingress-nginx/ingress-nginx，所以我希望这个配置在那个图表的values.yaml文件中，这样我就可以在以后必要的时候升级它。
因此，在阅读值文件时，我替换了属性：controller.extraArgs，看起来像这样：

extraArgs: {}

为此：

extraArgs:
    default-ssl-certificate: default/letsencrypt-secret-prod

这会重新启动部署，并将参数放在正确的位置。
现在我可以使用入口而不需要为每个入口指定tls.secretName，这太棒了。
下面是一个使用HTTPS的示例入口：

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: some-ingress-name
  annotations:
    kubernetes.io/ingress.class: nginx
    nginx.ingress.kubernetes.io/backend-protocol: "HTTP"
spec:
  rules:
  - http:
      paths:
      - path: /some-prefix
        pathType: Prefix
        backend:
          service:
            name: some-service-name
            port:
              number: 80

赞(0）回复(0）举报 2022-11-14

kx5bkwkv2#

您可以将您的SSL/TLS证书保存到K8s secret中，并将其附加到入口。
您需要在入口配置TLS块，不要忘记在入口添加ingress.class详细信息

apiVersion: extensions/v1beta1
kind: Ingress
metadata: 
  name: tls-example-ingress
spec: 
  rules: 
    - host: mydomain.com
      http: 
        paths: 
          - 
            backend: 
              serviceName: my-service
              servicePort: 80
            path: /
  tls: 
    - hosts: 
        - mydomain.com
      secretName: my-tls-secret

如欲了解更多信息，请访问：https://medium.com/avmconsulting-blog/how-to-secure-applications-on-kubernetes-ssl-tls-certificates-8f7f5751d788
您可能会在浏览器中看到类似以下的内容：