主页 / server / 问题 / 1029789
Accepted
Ondřej Míchal
Asked: 2020-08-13 01:34:53 +0800 CST

如何更改 Kubernetes Ingress 中的默认证书链

  • 772

我在 Azure 和 Ingress 上使用 AKS 和 Let's Encrypt 证书(由https://docs.microsoft.com/en-us/azure/aks/ingress-static-ip配置)

证书链默认为,DST Root CA X3但我想将其更改为替代ISRG Root X1

https://letsencrypt.org/certificates/#cross-signing

几乎所有的服务器运营商都会选择提供一个链,包括带有主题“Let's Encrypt Authority X3”和颁发者“DST Root CA X3”的中间证书。

你能告诉我,我怎样才能将默认的中间证书更改为Let’s Encrypt Authority X3 (Signed by ISRG Root X1)

我知道ISRG Root X1应该在 2020 年 9 月 29 日 ( https://letsencrypt.org/2019/04/15/transitioning-to-isrg-root.html ) 成为默认设置,所以我可以等待(不是最佳的)。但在那之后,这对需要保留的人很有用DST Root CA X3

kubernetes lets-encrypt ingress

2 个回答

  1. Best Answer

    如果您使用的是cert-manager,则中间证书的可选控制尚不可用

    这不会阻止您使用 certbot 颁发自己的证书,该证书增加了对选择链的支持并将其安装在 ingress 上

    certbot ... --preferred-chain "ISRG Root X1"

    任何未知值preferred-chain都会为您提供默认链。

    • 2

  2. 也许晚了点,但现在支持。您可以像这样配置您的发行人:

    apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: letsencrypt
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    preferredChain: "ISRG Root X1"

    有关更多信息,请参阅此页面

    • 1

相关问题