學習參考鏈接

https://www.bilibili.com/video/BV1qa411V7xs/?spm_id_from=333.337.search-card.all.click&vd_source=0372d3f32c3f19a6a2676a7529d6698a

https://tech.aufomm.com/how-to-use-cert-manager-on-kubernetes/

https://cert-manager.io/docs/installation/helm/

Cert Manager在k8s中的使用

安裝（這里使用Helm，可以參考上面鏈接里介紹的其他方式）

# 添加 Jetstack Helm 倉庫

# 更新本地 Helm Chart 倉庫緩存

helm repo add jetstack https://charts.jetstack.io
helm repo update

helm install \
  cert-manager jetstack/cert-manager \
  --namespace cert-manager \
  --create-namespace \
  --set installCRDs=true

1. 定義一個證書頒發者

2. 從該頒發者請求證書

步驟一：定義一個證書頒發者（Issuer）

1. 自簽名方式
2. ACME Let's Encrypt方式
3. CA證書方式

自簽名頒發者示例

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: selfsigned-issuer
  namespace: default
spec:
  selfSigned: {}

• apiVersion 指定了使用的 Cert - Manager API 版本。
• kind 表明這是一個 Issuer 資源。
• metadata 部分定義了頒發者的名稱和命名空間。
• spec 部分指定了頒發者的類型，這里使用的是 selfSigned，即自簽名。

kubectl apply -f selfsigned-issuer.yaml

Let's Encrypt 頒發者示例

apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: letsencrypt-issuer
spec:
  acme:
    # Let's Encrypt 的服務器地址
    server: https://acme-v02.api.letsencrypt.org/directory
    email: your-email@example.com # 替換為你的郵箱，用于證書到期提醒
    privateKeySecretRef:
      name: letsencrypt-key
    solvers:
    - http01:
        ingress:
          class: nginx  # 替換為你的 Ingress Controller 類型（如 nginx、traefik）

• server 指定了 Let's Encrypt 的服務器地址。
• email 是你用于注冊 Let's Encrypt 賬戶的郵箱地址。
• privateKeySecretRef 是存儲 Let's Encrypt 賬戶私鑰的 Secret 名稱。
• solvers 部分定義了證書驗證的方式，這里使用的是 http01 驗證，通過 Ingress 進行驗證。

kubectl apply -f letsencrypt-issuer.yaml

CA 頒發者示例

申請到合法的CA證書，通過證書創建 secret

kubectl create secret tls -n cert-manager ca-key-pair --cert=ca.cert.pem --key=ca.key.pem

再使用這個 secret 來創建issuer， 這里創建一個cluster issuer, 因為想給全局使用

apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: ca-issuer
spec:
  ca:
    secretName: ca-key-pair

• apiVersion 和 kind 分別指定了使用的 Cert - Manager API 版本和資源類型（ClusterIssuer）。
• metadata 部分定義了 Issuer 的名稱。
• spec.ca.secretName 指定了存儲 CA 證書和私鑰的 Secret 名稱。

步驟二：從該頒發者請求證書

1. 直接生成證書 
2. 使用annotations 方式

直接生成證書

letsencrypt-issuer

#my-certificate.yaml

apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: my-certificate
  namespace: default
spec:
  secretName: my-certificate-secret
  issuerRef:
    name: letsencrypt-issuer
    kind: Issuer
  commonName: my-domain.com
  dnsNames:
    - my-domain.com
    - www.my-domain.com

• apiVersion 和 kind 分別指定了使用的 API 版本和資源類型（Certificate）。
• metadata 部分定義了證書的名稱和命名空間。
• spec.secretName 是存儲證書和私鑰的 Secret 名稱。
• spec.issuerRef 指定了要使用的頒發者的名稱和類型。
• spec.commonName 是證書的通用名稱。
• spec.dnsNames 是證書要支持的域名列表。

kubectl apply -f my-certificate.yaml

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: my-ingress
  annotations:
    kubernetes.io/ingress.class: nginx
spec:
  tls:
  - hosts:
    - my-domain.com
    secretName: my-certifaicate-secret
  rules:
  - host: your - domain.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: your-service
            port:
              number: 80

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: my-ingress
  annotations:
    cert-manager.io/cluster-issuer: letsencrypt-issuer
    kubernetes.io/ingress.class: nginx
spec:
  tls:
  - hosts:
    - your-domain.com
    secretName: your-domain-tls
  rules:
  - host: your - domain.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: your-service
            port:
              number: 80

kubectl apply -f ingress-with-cert.yaml

kubectl describe certificate your-domain-tls