सर्टिफिकेट-मैनेजर 1.0 जारी किया गया

यदि आप किसी अनुभवी, बुद्धिमान इंजीनियर से पूछें कि वह सर्टिफिकेट-मैनेजर के बारे में क्या सोचता है और हर कोई इसका उपयोग क्यों करता है, तो विशेषज्ञ आह भरेगा, उसे गोपनीय रूप से गले लगाएगा और थके हुए से कहेगा: “हर कोई इसका उपयोग करता है, क्योंकि कोई समझदार विकल्प नहीं है। हमारे चूहे रोते हैं, चुभते हैं, लेकिन इस कैक्टस के साथ रहना जारी रखते हैं। हम प्यार क्यों करते हैं? क्योंकि यह काम करता है. हम प्यार क्यों नहीं करते? क्योंकि लगातार नए वर्जन सामने आ रहे हैं जो नए फीचर्स का इस्तेमाल करते हैं। और आपको क्लस्टर को बार-बार अपडेट करना होगा। और पुराने संस्करण काम करना बंद कर देते हैं, क्योंकि वहां एक साजिश और एक बड़ी रहस्यमयी शर्मिंदगी है।”

लेकिन डेवलपर्स का दावा है कि प्रमाणपत्र-प्रबंधक 1.0 हर चीज बदलेगी।

इसपर विश्वास करो?

सर्टिफिकेट-मैनेजर मूल कुबेरनेट्स प्रमाणपत्र प्रबंधन नियंत्रक है। इसका उपयोग विभिन्न स्रोतों से प्रमाणपत्र जारी करने के लिए किया जा सकता है: लेट्स एनक्रिप्ट, हाशीकॉर्प वॉल्ट, वेनाफी, हस्ताक्षर और स्व-हस्ताक्षरित कुंजी जोड़े। यह आपको कुंजियों को समाप्ति तिथि तक अद्यतन रखने की भी अनुमति देता है, और प्रमाणपत्रों की समाप्ति से पहले एक निर्दिष्ट समय पर उन्हें स्वचालित रूप से नवीनीकृत करने का भी प्रयास करता है। सर्टिफिकेट-मैनेजर क्यूब-लेगो पर आधारित है और इसने क्यूब-सर्टिफिकेट-मैनेजर जैसी अन्य समान परियोजनाओं से कुछ ट्रिक्स का भी उपयोग किया है।

रिलीज नोट्स

संस्करण 1.0 के साथ, हमने प्रमाणपत्र-प्रबंधक परियोजना के विकास के तीन वर्षों के लिए विश्वास का चिह्न लगाया है। इस समय के दौरान, यह कार्यक्षमता और स्थिरता में महत्वपूर्ण रूप से विकसित हुआ है, लेकिन सबसे अधिक समुदाय में। आज, हम कई लोगों को अपने कुबेरनेट्स समूहों को सुरक्षित करने के साथ-साथ पारिस्थितिकी तंत्र के विभिन्न हिस्सों में तैनात करने के लिए इसका उपयोग करते हुए देखते हैं। पिछली 16 रिलीज़ों में बहुत सारी बग्स को ठीक कर दिया गया है। और जिसे तोड़ने की जरूरत थी वह टूट गया। एपीआई के साथ काम करने के लिए कई दौरों से उपयोगकर्ताओं के साथ इसकी बातचीत में सुधार हुआ है। हमने 1500 समुदाय सदस्यों के अधिक पुल अनुरोधों के साथ GitHub पर 253 समस्याओं का समाधान किया है।

1.0 की रिलीज़ के साथ, हम आधिकारिक तौर पर घोषणा करते हैं कि सर्टिफिकेट-मैनेजर एक परिपक्व परियोजना है। हम अपने एपीआई को संगत बनाए रखने का भी वादा करते हैं v1.

उन सभी को बहुत धन्यवाद जिन्होंने इन तीन वर्षों में हमें सर्टिफ़िकेट-मैनेजर बनाने में मदद की! मान लीजिए कि संस्करण 1.0 आने वाली कई बड़ी चीज़ों में से पहला है।

रिलीज़ 1.0 कई प्राथमिकता वाले क्षेत्रों के साथ एक स्थिर रिलीज़ है:

• v1 एपीआई;

• टीम kubectl cert-manager status, समस्या विश्लेषण में सहायता के लिए;

• नवीनतम स्थिर कुबेरनेट्स एपीआई का उपयोग करना;

• बेहतर लॉगिंग;

• एसीएमई में सुधार।

अपग्रेड करने से पहले अपडेट नोट्स अवश्य पढ़ें।

एपीआई v1

संस्करण v0.16 एपीआई के साथ काम करता है v1beta1. इसमें कुछ संरचनात्मक परिवर्तन जोड़े गए और एपीआई फ़ील्ड दस्तावेज़ीकरण में भी सुधार हुआ। संस्करण 1.0 इस पर एक एपीआई के साथ निर्मित होता है v1. यह एपीआई हमारा पहला स्थिर एपीआई है, साथ ही हमने पहले से ही अनुकूलता की गारंटी दी है, लेकिन एपीआई के साथ v1 हम आने वाले वर्षों तक अनुकूलता बनाए रखने का वादा करते हैं।

किए गए परिवर्तन (ध्यान दें: हमारे रूपांतरण उपकरण आपके लिए हर चीज़ का ध्यान रखेंगे):

प्रमाणपत्र:

• emailSANs अब कहा जाता है emailAddresses

• uriSANs - uris

ये परिवर्तन अन्य SAN (विषय वैकल्पिक नाम, लगभग। अनुवादक), साथ ही गो एपीआई के साथ। हम इस शब्द को अपने एपीआई से हटा रहे हैं।

अद्यतन

यदि आप कुबेरनेट्स 1.16+ का उपयोग कर रहे हैं - वेबहुक परिवर्तित करने से आप एपीआई संस्करणों के साथ एक साथ और निर्बाध रूप से काम कर सकेंगे v1alpha2, v1alpha3, v1beta1 и v1. उनके साथ, आप अपने पुराने संसाधनों को बदले या पुन: नियोजित किए बिना एपीआई के नए संस्करण का उपयोग कर सकते हैं। हम आपके मेनिफेस्टों को एपीआई में अपग्रेड करने की पुरजोर अनुशंसा करते हैं v1, क्योंकि पिछले संस्करण जल्द ही हटा दिए जाएंगे। उपयोगकर्ताओं legacy प्रमाणपत्र-प्रबंधक के संस्करणों तक अभी भी केवल पहुंच होगी v1, अपग्रेड चरण पाए जा सकते हैं यहां.

Kubectl प्रमाणपत्र-प्रबंधक स्थिति आदेश

हमारे विस्तार में नए सुधारों के साथ kubectl प्रमाणपत्र जारी न होने से जुड़ी समस्याओं की जांच करना आसान हो गया। kubectl cert-manager status अब प्रमाणपत्रों के साथ क्या हो रहा है, इसके बारे में अधिक जानकारी प्रदान करता है, और यह भी दिखाता है कि प्रमाणपत्र किस चरण में जारी किया जाता है।

एक्सटेंशन इंस्टॉल करने के बाद आप चला सकते हैं kubectl cert-manager status certificate <имя-сертификата>, जो ACME से प्रमाणपत्र का उपयोग करने पर दिए गए नाम और किसी भी संबंधित संसाधन जैसे प्रमाणपत्र अनुरोध, रहस्य, जारीकर्ता, और आदेश और चुनौतियों के साथ प्रमाणपत्र को देखेगा।

किसी प्रमाणपत्र को डीबग करने का एक उदाहरण जो अभी तक तैयार नहीं है:

$ kubectl cert-manager status certificate acme-certificate

Name: acme-certificate
Namespace: default
Created at: 2020-08-21T16:44:13+02:00
Conditions:
  Ready: False, Reason: DoesNotExist, Message: Issuing certificate as Secret does not exist
  Issuing: True, Reason: DoesNotExist, Message: Issuing certificate as Secret does not exist
DNS Names:
- example.com
Events:
  Type    Reason     Age   From          Message
  ----    ------     ----  ----          -------
  Normal  Issuing    18m   cert-manager  Issuing certificate as Secret does not exist
  Normal  Generated  18m   cert-manager  Stored new private key in temporary Secret resource "acme-certificate-tr8b2"
  Normal  Requested  18m   cert-manager  Created new CertificateRequest resource "acme-certificate-qp5dm"
Issuer:
  Name: acme-issuer
  Kind: Issuer
  Conditions:
    Ready: True, Reason: ACMEAccountRegistered, Message: The ACME account was registered with the ACME server
error when finding Secret "acme-tls": secrets "acme-tls" not found
Not Before: <none>
Not After: <none>
Renewal Time: <none>
CertificateRequest:
  Name: acme-certificate-qp5dm
  Namespace: default
  Conditions:
    Ready: False, Reason: Pending, Message: Waiting on certificate issuance from order default/acme-certificate-qp5dm-1319513028: "pending"
  Events:
    Type    Reason        Age   From          Message
    ----    ------        ----  ----          -------
    Normal  OrderCreated  18m   cert-manager  Created Order resource default/acme-certificate-qp5dm-1319513028
Order:
  Name: acme-certificate-qp5dm-1319513028
  State: pending, Reason:
  Authorizations:
    URL: https://acme-staging-v02.api.letsencrypt.org/acme/authz-v3/97777571, Identifier: example.com, Initial State: pending, Wildcard: false
Challenges:
- Name: acme-certificate-qp5dm-1319513028-1825664779, Type: DNS-01, Token: J-lOZ39yNDQLZTtP_ZyrYojDqjutMAJOxCL1AkOEZWw, Key: U_W3gGV2KWgIUonlO2me3rvvEOTrfTb-L5s0V1TJMCw, State: pending, Reason: error getting clouddns service account: secret "clouddns-accoun" not found, Processing: true, Presented: false

यह आदेश आपको प्रमाणपत्र की सामग्री के बारे में अधिक जानने में भी मदद कर सकता है। Letsencrypt द्वारा जारी प्रमाणपत्र के लिए विस्तृत उदाहरण:

$ kubectl cert-manager status certificate example
Name: example
[...]
Secret:
  Name: example
  Issuer Country: US
  Issuer Organisation: Let's Encrypt
  Issuer Common Name: Let's Encrypt Authority X3
  Key Usage: Digital Signature, Key Encipherment
  Extended Key Usages: Server Authentication, Client Authentication
  Public Key Algorithm: RSA
  Signature Algorithm: SHA256-RSA
  Subject Key ID: 65081d98a9870764590829b88c53240571997862
  Authority Key ID: a84a6a63047dddbae6d139b7a64565eff3a8eca1
  Serial Number: 0462ffaa887ea17797e0057ca81d7ba2a6fb
  Events:  <none>
Not Before: 2020-06-02T04:29:56+02:00
Not After: 2020-08-31T04:29:56+02:00
Renewal Time: 2020-08-01T04:29:56+02:00
[...]

नवीनतम स्थिर कुबेरनेट्स एपीआई का उपयोग करना

सर्टिफिकेट-मैनेजर कुबेरनेट्स सीआरडी को लागू करने वाले पहले लोगों में से एक था। इसका, और 1.11 तक कुबेरनेट्स संस्करणों के लिए हमारे समर्थन का मतलब है कि हमें विरासत का समर्थन करने की आवश्यकता है apiextensions.k8s.io/v1beta1 हमारे सीआरडी के लिए भी admissionregistration.k8s.io/v1beta1 हमारे वेबहुक के लिए। अब उन्हें पदावनत कर दिया गया है और संस्करण 1.22 से कुबेरनेट्स में हटा दिया जाएगा। अपने 1.0 के साथ अब हम पूर्ण समर्थन प्रदान करते हैं apiextensions.k8s.io/v1 и admissionregistration.k8s.io/v1 कुबेरनेट्स 1.16 (जहां उन्हें जोड़ा गया था) और नए के लिए। पिछले संस्करणों के उपयोगकर्ताओं के लिए, हम सहायता प्रदान करना जारी रखेंगे v1beta1 हमारे में legacy संस्करण।

बेहतर लॉगिंग

इस रिलीज़ में, हमने लॉगिंग लाइब्रेरी को अपडेट किया है klog/v2, कुबेरनेट्स 1.19 में उपयोग किया गया। हम अपने द्वारा लिखी जाने वाली प्रत्येक पत्रिका की समीक्षा भी करते हैं ताकि यह सुनिश्चित किया जा सके कि उसे उचित स्तर दिया गया है। हमें इससे मार्गदर्शन मिला कुबेरनेट्स से मार्गदर्शन. पाँच हैं (वास्तव में छह, लगभग। अनुवादक) लॉगिंग स्तर से शुरू हो रहा है Error (स्तर 0), जो केवल महत्वपूर्ण त्रुटियों को प्रिंट करता है, और इसके साथ समाप्त होता है Trace (स्तर 5) जो आपको यह जानने में मदद करेगा कि वास्तव में क्या हो रहा है। यदि आपको सर्टिफिकेट-मैनेजर चलाते समय डिबगिंग जानकारी की आवश्यकता नहीं है, तो इस परिवर्तन के साथ हमने लॉग की संख्या कम कर दी है।

युक्ति: डिफ़ॉल्ट रूप से प्रमाणपत्र-प्रबंधक स्तर 2 पर चलता है (Info), आप इसका उपयोग करके इसे ओवरराइड कर सकते हैं global.logLevel हेल्म चार्ट में.

नोट: समस्या निवारण के समय लॉग देखना अंतिम उपाय है। अधिक जानकारी के लिए हमारी जाँच करें दिशा.

संपादक का एनबी: कुबेरनेट्स के तहत यह सब कैसे काम करता है, इसके बारे में अधिक जानने के लिए, अभ्यास करने वाले शिक्षकों से मूल्यवान सलाह प्राप्त करें, साथ ही गुणवत्तापूर्ण तकनीकी सहायता सहायता प्राप्त करें, आप ऑनलाइन गहनता में भाग ले सकते हैं कुबेरनेट्स बेस, जो 28-30 सितंबर को आयोजित किया जाएगा, और कुबेरनेट्स मेगाजो 14-16 अक्टूबर को आयोजित किया जाएगा।

एसीएमई सुधार

सर्टिफिकेट-मैनेजर का सबसे आम उपयोग संभवतः एसीएमई का उपयोग करके लेट्स एनक्रिप्ट से प्रमाणपत्र जारी करने से संबंधित है। संस्करण 1.0 हमारे एसीएमई जारीकर्ता में दो छोटे लेकिन महत्वपूर्ण सुधार जोड़ने के लिए सामुदायिक फीडबैक का उपयोग करने के लिए उल्लेखनीय है।

खाता कुंजी जनरेशन अक्षम करें

यदि आप बड़ी मात्रा में एसीएमई प्रमाणपत्रों का उपयोग करते हैं, तो संभावना है कि आप एक ही खाते का उपयोग कई समूहों में करेंगे, इसलिए आपके प्रमाणपत्र जारी करने पर प्रतिबंध उन सभी पर लागू होंगे। यह प्रमाणित-प्रबंधक में निर्दिष्ट रहस्य की प्रतिलिपि बनाते समय पहले से ही संभव था privateKeySecretRef. यह उपयोग मामला काफी गड़बड़ था, क्योंकि प्रमाणपत्र-प्रबंधक ने मददगार बनने की कोशिश की और अगर उसे कोई नहीं मिला तो उसने खुशी-खुशी एक नई खाता कुंजी बना दी। इसलिए हमने जोड़ा disableAccountKeyGenerationयदि आप इस विकल्प को सेट करते हैं तो आपको इस व्यवहार से बचाने के लिए true - प्रमाणपत्र-प्रबंधक कोई कुंजी उत्पन्न नहीं करेगा और आपको चेतावनी देगा कि उसे खाता कुंजी प्रदान नहीं की गई है।

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: letsencrypt
spec:
  acme:
    privateKeySecretRef:
      name: example-issuer-account-key
    disableAccountKeyGeneration: false

पसंदीदा चेन

29 सितंबर आइए एन्क्रिप्ट करें समाप्त हो जाएगी अपने स्वयं के रूट प्रमाणपत्र प्राधिकारी को ISRG Root. क्रॉस-हस्ताक्षरित प्रमाणपत्रों को प्रतिस्थापित किया जाएगा Identrust. इस परिवर्तन के लिए प्रमाणपत्र-प्रबंधक सेटिंग्स में बदलाव की आवश्यकता नहीं है, इस तिथि के बाद जारी किए गए सभी अद्यतन या नए प्रमाणपत्र नए रूट सीए का उपयोग करेंगे।

Let's Encrypt पहले से ही इस CA के साथ प्रमाणपत्रों पर हस्ताक्षर करता है और उन्हें ACME के ​​माध्यम से "वैकल्पिक प्रमाणपत्र श्रृंखला" के रूप में पेश करता है। सर्टिफिकेट-मैनेजर के इस संस्करण में जारीकर्ता सेटिंग्स में इन श्रृंखलाओं तक पहुंच सेट करने की क्षमता है। पैरामीटर में preferredChain आप उपयोग में आने वाले सीए का नाम निर्दिष्ट कर सकते हैं, जिसके साथ प्रमाणपत्र जारी किया जाएगा। यदि अनुरोध से मेल खाता सीए प्रमाणपत्र उपलब्ध है, तो यह आपको एक प्रमाणपत्र जारी करेगा। कृपया ध्यान दें कि यह पसंदीदा विकल्प है, यदि कुछ नहीं मिलता है, तो एक डिफ़ॉल्ट प्रमाणपत्र जारी किया जाएगा। यह सुनिश्चित करेगा कि आप ACME जारीकर्ता पक्ष पर वैकल्पिक श्रृंखला को हटाने के बाद भी अपने प्रमाणपत्र को नवीनीकृत करेंगे।

आज ही आप हस्ताक्षरित प्रमाणपत्र प्राप्त कर सकते हैं ISRG Root, इसलिए:

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: letsencrypt
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    preferredChain: "ISRG Root X1"

यदि आप श्रृंखला छोड़ना पसंद करते हैं IdenTrust - इस विकल्प को सेट करें DST Root CA X3:

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: letsencrypt
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    preferredChain: "DST Root CA X3"

कृपया ध्यान दें कि यह रूट CA जल्द ही अप्रचलित हो जाएगा, Let's Encrypt इस श्रृंखला को 29 सितंबर, 2021 तक सक्रिय रखेगा।

स्रोत: www.habr.com