Kubernetes

如何更改 Kubernetes Ingress 中的預設證書鏈

  • October 1, 2021

我在 Azure 和 Ingress 上使用 AKS 和 Let’s Encrypt 證書(由https://docs.microsoft.com/en-us/azure/aks/ingress-static-ip配置)

證書鏈預設為,DST Root CA X3但我想將其更改為替代ISRG Root X1

https://letsencrypt.org/certificates/#cross-signing

幾乎所有的伺服器運營商都會選擇服務鏈,包括帶有主題“Let’s Encrypt Authority X3”和頒發者“DST Root CA X3”的中間證書。

你能告訴我,我怎樣才能將預設的中間證書更改為Let’s Encrypt Authority X3 (Signed by ISRG Root X1)

我知道ISRG Root X1應該在 2020 年 9 月 29 日 ( https://letsencrypt.org/2019/04/15/transitioning-to-isrg-root.html ) 成為預設設置,所以我可以等待(不是最佳的)。但在那之後,這對需要保留的人很有用DST Root CA X3

如果您使用的是cert-manager,則中間證書的可選控制尚不可用

這不會阻止您使用 certbot 頒發自己的證書,該證書增加了對選擇鏈的支持並將其安裝在 ingress 上

certbot ... --preferred-chain "ISRG Root X1"

任何未知值preferred-chain都會為您提供預設鏈。

也許晚了點,但現在支持。您可以像這樣配置您的發行人:

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
 name: letsencrypt
spec:
 acme:
   server: https://acme-v02.api.letsencrypt.org/directory
   preferredChain: "ISRG Root X1"

有關更多資訊,請參閱此頁面

引用自:https://serverfault.com/questions/1029789