Como obter um certificado de chave TLS?
Cenário
Se sua entrada precisar usar HTTPS, você deverá configurar um segredo do tipo IngressTLS ou kubernetes.io/tls ao criar um ingress.
Crie um certificado TLS de ingress, conforme mostrado na Figura 1.
O arquivo de certificado a ser carregado deve corresponder ao arquivo de chave privada. Caso contrário, o arquivo de certificado torna-se inválido.
Solução
Geralmente, você precisa obter um certificado válido do provedor de certificados. Se quiser usá-lo no ambiente de teste, você pode criar um certificado e uma chave privada com base nas instruções a seguir.
Os certificados autocriados aplicam-se apenas a cenários de teste. Tais certificados são inválidos e afetarão o acesso ao navegador. Carregue manualmente um válido para garantir conexões seguras.
- Gere uma tls.key.
openssl genrsa -out tls.key 2048
O comando irá gerar uma tls.key privada no diretório onde o comando é executado.
- Gere um certificado usando a tls.key privada.
openssl req -new -x509 -key tls.key -out tls.crt -subj /C=CN/ST=Beijing/O=Devops/CN=example.com -days 3650
A chave gerada deve estar no seguinte formato:
----BEGIN RSA PRIVATE KEY----- ........................................................... -----END RSA PRIVATE KEY-----
O certificado gerado deve estar no seguinte formato:
-----BEGIN CERTIFICATE----- ................................................................ -----END CERTIFICATE-----
- Importe o certificado.
Ao criar uma chave TLS, importe o arquivo de certificado e chave privada para o local correspondente.
Verificação
O uso de um navegador para acessar o ingress é bem-sucedido. No entanto, o certificado e o segredo não são emitidos pela AC e a barra de endereços mostra que a conexão com o nginx não é segura.
