Eu tenho um cluster Kubernetes auto-hospedado com um Nginx Ingress. O Cert-manager também está sendo executado no cluster, com o qual tento obter certificados SSL válidos usando o Letsencrypt. Tudo funciona e recebo um certificado válido para example.com, www.example.com ou app1.example.com, mas não para um curinga geral *.example.com. Se eu tentar de alguma forma inserir um curinga no meu ingresso em sec.tls.hosts, nenhum certificado será gerado para mim. eu recebo a saída para
kubectl get certificate
NAME READY SECRET AGE
tls-test-cert False tls-electi-cert 20h
kubectl get CertificateRequest
NAME APPROVED DENIED READY ISSUER REQUESTOR AGE
tls-test-cert-8jw75 True False letsencrypt-staging system:serviceaccount:cert-manager:cert-manager 18m
kubectl describe CertificateRequest
[...]
Status:
Conditions:
Last Transition Time: 2022-02-27T13:54:38Z
Message: Certificate request has been approved by cert-manager.io
Reason: cert-manager.io
Status: True
Type: Approved
Last Transition Time: 2022-02-27T13:54:38Z
Message: Waiting on certificate issuance from order gateway/tls-test-cert-8jw75-1425588341: "pending"
Reason: Pending
Status: False
Type: Ready
Events:
Type Reason Age From Message
---- ------ ---- ---- -------
Normal cert-manager.io 18m cert-manager Certificate request has been approved by cert-manager.io
Normal OrderCreated 18m cert-manager Created Order resource gateway/tls-test-cert-8jw75-1425588341
Normal OrderPending 18m cert-manager Waiting on certificate issuance from order gateway/tls-test-cert-8jw75-1425588341: ""
My Nginx Ingress: (troquei meu domínio para example.com para este post)
---
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: test-management
namespace: gateway
annotations:
kubernetes.io/ingress.class: nginx
cert-manager.io/cluster-issuer: "letsencrypt-staging"
nginx.ingress.kubernetes.io/force-ssl-redirect: "true"
nginx.ingress.kubernetes.io/ssl-redirect: "true"
nginx.ingress.kubernetes.io/backend-protocol: "HTTP"
spec:
ingressClassName: nginx
tls:
- secretName: tls-test-cert
hosts:
- example.com
- '*.example.com'
rules:
- host: example.com
http:
paths:
- path: /
pathType: Prefix
backend:
service:
name: test-gateway
port:
number: 80
- host: '*.example.com'
http:
paths:
- path: /
pathType: Prefix
backend:
service:
name: test-gateway
port:
number: 80
Emissor: (eu editei meu e-mail aqui)
apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
name: letsencrypt-staging
namespace: cert-manager
spec:
acme:
server: https://acme-staging-v02.api.letsencrypt.org/directory
email: *******
privateKeySecretRef:
name: letsencrypt-staging
solvers:
- http01:
ingress:
class: nginx
Meu proxy reverso (teste-gateway) definitivamente funciona e encaminha todos os subdomínios para o meu site. Agradecemos antecipadamente por quaisquer idéias sobre o que pode estar causando isso.
Obrigado pela ajuda, consegui resolver meu problema:
Basicamente, eu tive que encontrar uma nova abordagem porque nenhum certificado curinga pode ser emitido com http01. (veja aqui: https://cert-manager.io/docs/configuration/acme/ ) Depois de um pouco de pesquisa cheguei à conclusão de que faz mais sentido usar um solver dns01. A documentação pode ser encontrada aqui: https://cert-manager.io/docs/configuration/acme/dns01/
Como a configuração do dns01 depende muito do seu provedor de DNS, não publicarei minha solução aqui, mas uma configuração útil pode ser facilmente encontrada na documentação.