Kubernetes
如何更改 Kubernetes Ingress 中的預設證書鏈
我在 Azure 和 Ingress 上使用 AKS 和 Let’s Encrypt 證書(由https://docs.microsoft.com/en-us/azure/aks/ingress-static-ip配置)
證書鏈預設為,
DST Root CA X3
但我想將其更改為替代ISRG Root X1
https://letsencrypt.org/certificates/#cross-signing說
幾乎所有的伺服器運營商都會選擇服務鏈,包括帶有主題“Let’s Encrypt Authority X3”和頒發者“DST Root CA X3”的中間證書。
你能告訴我,我怎樣才能將預設的中間證書更改為
Let’s Encrypt Authority X3 (Signed by ISRG Root X1)
?我知道
ISRG Root X1
應該在 2020 年 9 月 29 日 ( https://letsencrypt.org/2019/04/15/transitioning-to-isrg-root.html ) 成為預設設置,所以我可以等待(不是最佳的)。但在那之後,這對需要保留的人很有用DST Root CA X3
如果您使用的是cert-manager,則中間證書的可選控制尚不可用。
這不會阻止您使用 certbot 頒發自己的證書,該證書增加了對選擇鏈的支持並將其安裝在 ingress 上。
certbot ... --preferred-chain "ISRG Root X1"
任何未知值
preferred-chain
都會為您提供預設鏈。
也許晚了點,但現在支持。您可以像這樣配置您的發行人:
apiVersion: cert-manager.io/v1 kind: Issuer metadata: name: letsencrypt spec: acme: server: https://acme-v02.api.letsencrypt.org/directory preferredChain: "ISRG Root X1"
有關更多資訊,請參閱此頁面