Как автоматически продлить SSL-сертификат Let's Encrypt для Cloud Run для Anthos в Google Cloud с бессерверным режимом?

Question

Как автоматически продлить SSL-сертификат Let's Encrypt для Cloud Run для Anthos в Google Cloud с бессерверным режимом?

Я создал сервис Cloud Run для Anthos в Google Cloud, а сертификат SSL сделан Letâ € ™ s Encrypt. Я хочу автоматически обновлять сертификат на бессерверном сервере, а не на GCE.

Как я могу это сделать?

Могу ли я использовать cronJob на GKE?

Я просто вручную создал сертификат на своем ноутбуке.

sudo certbot certonly --manual --preferred-challenges dns -d '*.default.domain'
sudo kubectl create --namespace istio-system secret tls istio-ingressgateway-certs \
--key /etc/letsencrypt/live/default.domain/privkey.pem \
--cert /etc/letsencrypt/live/default.domain/fullchain.pem

2

ssl-certificate google-kubernetes-engine google-cloud-run lets-encrypt google-anthos

Источник

user4528551 08 окт '19 в 05:07

3 ответа

Другие вопросы по тегам ssl-certificate google-kubernetes-engine google-cloud-run lets-encrypt google-anthos

user4528551 21 сен '22 в 08:35 2022-09-21 08:35 · Answer 1 · 2022-09-21 08:35

Теперь у нас есть документ GCP «Использование управляемых сертификатов TLS и HTTPS» https://cloud.google.com/anthos/run/docs/managed-tls .

0

Источник

user4528551 21 сен '22 в 08:35

user8016720 09 окт '19 в 08:59 2019-10-09 08:59 · Answer 2 · 2019-10-09 08:59

Сертификаты Let's Encrypt, созданные вручную с помощью проверки DNS, не могут быть обновлены, если вы не сохранили закрытый ключ, использованный для подписи исходного CSR, и не сможете изменять серверы имен домена с помощью вызовов TXT DNS.

Мне неизвестны приложения, которые принимают заранее созданные сертификаты SSL. Обычно эти приложения запускаются с нуля и все настраивают.

Я рекомендую установить Cert-Manager и перевыпустить ваш SSL-сертификат и настроить автоматическое продление.

Однако вы заявили, что хотите сделать это "бессерверным". Существует множество примеров создания SSL-сертификатов Let's Encrypt с помощью DNS-запроса в Интернете. Однако я не видел ни одной, которая также обрабатывала бы обновления. Здесь нет никаких технических проблем, вам просто нужен плагин, который модифицирует ваши серверы имен с правильными записями TXT. Если вы понимаете интерфейс ACME, вы можете разработать собственное программное обеспечение. В противном случае я бы использовал Kubernetes Cert-Manager или другой поддерживаемый пакет.