🥇cert-manager 1.0 റിലീസ് ചെയ്തു | പ്രോഹോസ്റ്റർ

പരിചയസമ്പന്നനും ബുദ്ധിമാനും ആയ ഒരു എഞ്ചിനീയറോട് നിങ്ങൾ സർട്ട് മാനേജരെക്കുറിച്ച് എന്താണ് ചിന്തിക്കുന്നതെന്നും എല്ലാവരും എന്തിനാണ് ഇത് ഉപയോഗിക്കുന്നതെന്നും ചോദിച്ചാൽ, സ്പെഷ്യലിസ്റ്റ് നെടുവീർപ്പിട്ടു, അവനെ രഹസ്യമായി കെട്ടിപ്പിടിച്ച് ക്ഷീണത്തോടെ പറയും: “എല്ലാവരും ഇത് ഉപയോഗിക്കുന്നു, കാരണം വിവേകശൂന്യമായ ബദലുകളൊന്നുമില്ല. നമ്മുടെ എലികൾ കരയുന്നു, സ്വയം കുത്തുന്നു, പക്ഷേ ഈ കള്ളിച്ചെടിക്കൊപ്പം ജീവിക്കുന്നത് തുടരുന്നു. എന്തുകൊണ്ടാണ് നമ്മൾ സ്നേഹിക്കുന്നത്? കാരണം അത് പ്രവർത്തിക്കുന്നു. എന്തുകൊണ്ട് നമ്മൾ സ്നേഹിക്കുന്നില്ല? കാരണം പുതിയ ഫീച്ചറുകൾ ഉപയോഗിക്കുന്ന പുതിയ പതിപ്പുകൾ നിരന്തരം പുറത്തിറങ്ങുന്നു. നിങ്ങൾ ക്ലസ്റ്റർ വീണ്ടും വീണ്ടും അപ്ഡേറ്റ് ചെയ്യണം. പഴയ പതിപ്പുകൾ പ്രവർത്തിക്കുന്നത് നിർത്തുന്നു, കാരണം ഒരു ഗൂഢാലോചനയും വലിയ നിഗൂഢമായ ഷാമനിസവും ഉണ്ട്.

എന്നാൽ ഡവലപ്പർമാർ അത് അവകാശപ്പെടുന്നു cert-manager 1.0 എല്ലാം മാറും.

നമ്മൾ അത് വിശ്വസിക്കണോ?

Cert-manager ഒരു നേറ്റീവ് Kubernetes സർട്ടിഫിക്കറ്റ് മാനേജ്മെന്റ് കൺട്രോളറാണ്. വിവിധ ഉറവിടങ്ങളിൽ നിന്നുള്ള സർട്ടിഫിക്കറ്റുകൾ നൽകാൻ ഇത് ഉപയോഗിക്കാം: ലെറ്റ്സ് എൻക്രിപ്റ്റ്, ഹാഷികോർപ്പ് വോൾട്ട്, വെനാഫി, സൈനിംഗ്, സെൽഫ് സൈൻഡ് കീ ജോഡികൾ. കീകൾ അപ് ടു ഡേറ്റ് ആയി സൂക്ഷിക്കാനും സർട്ടിഫിക്കറ്റുകൾ കാലഹരണപ്പെടുന്നതിന് മുമ്പ് ഒരു നിശ്ചിത സമയത്ത് യാന്ത്രികമായി പുതുക്കാൻ ശ്രമിക്കാനും ഇത് നിങ്ങളെ അനുവദിക്കുന്നു. Cert-manager kube-lego അടിസ്ഥാനമാക്കിയുള്ളതാണ്, കൂടാതെ kube-cert-manager പോലുള്ള മറ്റ് സമാന പ്രോജക്റ്റുകളിൽ നിന്നുള്ള ചില സാങ്കേതിക വിദ്യകളും ഉപയോഗിച്ചു.

റിലീസ് കുറിപ്പുകൾ

പതിപ്പ് 1.0 ഉപയോഗിച്ച്, സർട്ട് മാനേജർ പ്രോജക്റ്റിന്റെ മൂന്ന് വർഷത്തെ വികസനത്തിൽ ഞങ്ങൾ വിശ്വാസത്തിന്റെ അടയാളം ഇടുന്നു. ഈ സമയത്ത്, ഇത് പ്രവർത്തനത്തിലും സ്ഥിരതയിലും ഗണ്യമായി വികസിച്ചു, എന്നാൽ എല്ലാറ്റിനും ഉപരിയായി സമൂഹത്തിൽ. ഇന്ന് പലരും തങ്ങളുടെ കുബർനെറ്റസ് ക്ലസ്റ്ററുകൾ സുരക്ഷിതമാക്കുന്നതിനും അതുപോലെ ആവാസവ്യവസ്ഥയുടെ വിവിധ ഭാഗങ്ങളിൽ ഇത് നടപ്പിലാക്കുന്നതിനും ഇത് ഉപയോഗിക്കുന്നത് നാം കാണുന്നു. കഴിഞ്ഞ 16 റിലീസുകളിൽ ഒരു കൂട്ടം ബഗുകൾ പരിഹരിച്ചു. ഒപ്പം തകർക്കേണ്ടിയിരുന്നത് തകർന്നു. API-യിലേക്കുള്ള നിരവധി സന്ദർശനങ്ങൾ ഉപയോക്താക്കളുമായുള്ള ആശയവിനിമയം മെച്ചപ്പെടുത്തി. 1500 കമ്മ്യൂണിറ്റി അംഗങ്ങളിൽ നിന്നുള്ള കൂടുതൽ പിൻവലിക്കൽ അഭ്യർത്ഥനകളോടെ ഞങ്ങൾ GitHub-ലെ 253 പ്രശ്നങ്ങൾ പരിഹരിച്ചു.

1.0 റിലീസ് ചെയ്യുന്നതിലൂടെ, സർട്ടിഫിക്കറ്റ് മാനേജർ ഒരു മുതിർന്ന പ്രോജക്‌റ്റാണെന്ന് ഞങ്ങൾ ഔദ്യോഗികമായി പ്രഖ്യാപിക്കുന്നു. ഞങ്ങളുടെ API അനുയോജ്യമായി നിലനിർത്തുമെന്നും ഞങ്ങൾ വാഗ്ദാനം ചെയ്യുന്നു v1.

ഈ മൂന്ന് വർഷവും സർട്ട് മാനേജർ സൃഷ്ടിക്കാൻ ഞങ്ങളെ സഹായിച്ച എല്ലാവർക്കും നന്ദി! വരാനിരിക്കുന്ന മഹത്തായ കാര്യങ്ങളിൽ ആദ്യത്തേത് പതിപ്പ് 1.0 ആയിരിക്കട്ടെ.

നിരവധി മുൻഗണനാ മേഖലകളുള്ള ഒരു സ്ഥിരതയുള്ള റിലീസാണ് റിലീസ് 1.0:

v1 API;
ടീം kubectl cert-manager status, പ്രശ്നങ്ങൾ വിശകലനം ചെയ്യാൻ സഹായിക്കുന്നതിന്;
ഏറ്റവും പുതിയ സ്ഥിരതയുള്ള കുബർനെറ്റസ് API-കൾ ഉപയോഗിക്കുന്നു;
മെച്ചപ്പെട്ട ലോഗിംഗ്;
ACME മെച്ചപ്പെടുത്തലുകൾ.

അപ്‌ഗ്രേഡ് ചെയ്യുന്നതിന് മുമ്പ് അപ്‌ഡേറ്റ് കുറിപ്പുകൾ വായിക്കുന്നത് ഉറപ്പാക്കുക.

API v1

പതിപ്പ് v0.16 API-യിൽ പ്രവർത്തിച്ചു v1beta1. ഇത് ചില ഘടനാപരമായ മാറ്റങ്ങൾ ചേർക്കുകയും API ഫീൽഡ് ഡോക്യുമെന്റേഷൻ മെച്ചപ്പെടുത്തുകയും ചെയ്തു. പതിപ്പ് 1.0 ഒരു എപിഐ ഉപയോഗിച്ച് ഇതിലെല്ലാം നിർമ്മിക്കുന്നു v1. ഈ API ഞങ്ങളുടെ ആദ്യത്തെ സ്ഥിരതയുള്ള ഒന്നാണ്, അതേ സമയം ഞങ്ങൾ ഇതിനകം തന്നെ അനുയോജ്യത ഗ്യാരണ്ടികൾ നൽകിയിട്ടുണ്ട്, എന്നാൽ API ഉപയോഗിച്ച് v1 വരും വർഷങ്ങളിൽ അനുയോജ്യത നിലനിർത്തുമെന്ന് ഞങ്ങൾ വാഗ്ദാനം ചെയ്യുന്നു.

വരുത്തിയ മാറ്റങ്ങൾ (ശ്രദ്ധിക്കുക: ഞങ്ങളുടെ പരിവർത്തന ഉപകരണങ്ങൾ നിങ്ങൾക്കായി എല്ലാം പരിപാലിക്കും):

സർട്ടിഫിക്കറ്റ്:

emailSANs ഇപ്പോൾ വിളിച്ചു emailAddresses
uriSANs - uris

ഈ മാറ്റങ്ങൾ മറ്റ് SAN-കളുമായുള്ള അനുയോജ്യത കൂട്ടുന്നു (സബ്ജക്റ്റ് ആൾട്ട് നെയിമുകൾ, ഏകദേശം. വിവർത്തകൻ), അതുപോലെ തന്നെ Go API. ഞങ്ങളുടെ API-യിൽ നിന്ന് ഞങ്ങൾ ഈ പദം നീക്കം ചെയ്യുന്നു.

അപ്ഡേറ്റ് ചെയ്യുക

നിങ്ങൾ Kubernetes 1.16+ ആണ് ഉപയോഗിക്കുന്നതെങ്കിൽ - വെബ്‌ഹുക്കുകൾ പരിവർത്തനം ചെയ്യുന്നത് API പതിപ്പുകൾക്കൊപ്പം ഒരേസമയം തടസ്സങ്ങളില്ലാതെ പ്രവർത്തിക്കാൻ നിങ്ങളെ അനുവദിക്കും. v1alpha2, v1alpha3, v1beta1 и v1. അവയ്‌ക്കൊപ്പം, നിങ്ങളുടെ പഴയ ഉറവിടങ്ങൾ മാറ്റുകയോ വീണ്ടും വിന്യസിക്കുകയോ ചെയ്യാതെ തന്നെ നിങ്ങൾക്ക് API-യുടെ പുതിയ പതിപ്പ് ഉപയോഗിക്കാൻ കഴിയും. നിങ്ങളുടെ മാനിഫെസ്റ്റുകൾ API-ലേക്ക് അപ്ഗ്രേഡ് ചെയ്യാൻ ഞങ്ങൾ ശക്തമായി ശുപാർശ ചെയ്യുന്നു v1, മുൻ പതിപ്പുകൾ ഉടൻ തന്നെ ഒഴിവാക്കപ്പെടും. ഉപയോക്താക്കൾ legacy cert-manager-ന്റെ പതിപ്പുകൾക്ക് തുടർന്നും ആക്‌സസ്സ് ഉണ്ടായിരിക്കും v1, അപ്ഡേറ്റ് ഘട്ടങ്ങൾ കണ്ടെത്താനാകും ഇവിടെ.

kubectl cert-manager സ്റ്റാറ്റസ് കമാൻഡ്

ഞങ്ങളുടെ വിപുലീകരണത്തിൽ പുതിയ മെച്ചപ്പെടുത്തലുകളോടെ kubectl സർട്ടിഫിക്കറ്റുകൾ നൽകാത്തതുമായി ബന്ധപ്പെട്ട പ്രശ്നങ്ങൾ അന്വേഷിക്കുന്നത് എളുപ്പമായി. kubectl cert-manager status ഇപ്പോൾ സർട്ടിഫിക്കറ്റുകളിൽ എന്താണ് സംഭവിക്കുന്നത് എന്നതിനെക്കുറിച്ചുള്ള കൂടുതൽ വിവരങ്ങൾ നൽകുന്നു, കൂടാതെ സർട്ടിഫിക്കറ്റ് നൽകുന്ന ഘട്ടവും കാണിക്കുന്നു.

വിപുലീകരണം ഇൻസ്റ്റാൾ ചെയ്ത ശേഷം നിങ്ങൾക്ക് പ്രവർത്തിപ്പിക്കാൻ കഴിയും kubectl cert-manager status certificate <имя-сертификата>, ഇത് നിർദ്ദിഷ്ട പേരിനൊപ്പം സർട്ടിഫിക്കറ്റിനായി തിരയുകയും സർട്ടിഫിക്കറ്റ് അഭ്യർത്ഥന, രഹസ്യം, ഇഷ്യൂവർ, കൂടാതെ ACME-യിൽ നിന്നുള്ള സർട്ടിഫിക്കറ്റുകളുടെ കാര്യത്തിൽ ഓർഡറും വെല്ലുവിളികളും പോലുള്ള ഏതെങ്കിലും അനുബന്ധ ഉറവിടങ്ങളും.

ഇതുവരെ തയ്യാറായിട്ടില്ലാത്ത ഒരു സർട്ടിഫിക്കറ്റ് ഡീബഗ്ഗ് ചെയ്യുന്നതിനുള്ള ഒരു ഉദാഹരണം:

$ kubectl cert-manager status certificate acme-certificate

Name: acme-certificate
Namespace: default
Created at: 2020-08-21T16:44:13+02:00
Conditions:
  Ready: False, Reason: DoesNotExist, Message: Issuing certificate as Secret does not exist
  Issuing: True, Reason: DoesNotExist, Message: Issuing certificate as Secret does not exist
DNS Names:
- example.com
Events:
  Type    Reason     Age   From          Message
  ----    ------     ----  ----          -------
  Normal  Issuing    18m   cert-manager  Issuing certificate as Secret does not exist
  Normal  Generated  18m   cert-manager  Stored new private key in temporary Secret resource "acme-certificate-tr8b2"
  Normal  Requested  18m   cert-manager  Created new CertificateRequest resource "acme-certificate-qp5dm"
Issuer:
  Name: acme-issuer
  Kind: Issuer
  Conditions:
    Ready: True, Reason: ACMEAccountRegistered, Message: The ACME account was registered with the ACME server
error when finding Secret "acme-tls": secrets "acme-tls" not found
Not Before: <none>
Not After: <none>
Renewal Time: <none>
CertificateRequest:
  Name: acme-certificate-qp5dm
  Namespace: default
  Conditions:
    Ready: False, Reason: Pending, Message: Waiting on certificate issuance from order default/acme-certificate-qp5dm-1319513028: "pending"
  Events:
    Type    Reason        Age   From          Message
    ----    ------        ----  ----          -------
    Normal  OrderCreated  18m   cert-manager  Created Order resource default/acme-certificate-qp5dm-1319513028
Order:
  Name: acme-certificate-qp5dm-1319513028
  State: pending, Reason:
  Authorizations:
    URL: https://acme-staging-v02.api.letsencrypt.org/acme/authz-v3/97777571, Identifier: example.com, Initial State: pending, Wildcard: false
Challenges:
- Name: acme-certificate-qp5dm-1319513028-1825664779, Type: DNS-01, Token: J-lOZ39yNDQLZTtP_ZyrYojDqjutMAJOxCL1AkOEZWw, Key: U_W3gGV2KWgIUonlO2me3rvvEOTrfTb-L5s0V1TJMCw, State: pending, Reason: error getting clouddns service account: secret "clouddns-accoun" not found, Processing: true, Presented: false

സർട്ടിഫിക്കറ്റിലെ ഉള്ളടക്കങ്ങളെക്കുറിച്ച് കൂടുതലറിയാൻ ടീമിന് നിങ്ങളെ സഹായിക്കാനാകും. Letsencrypt നൽകുന്ന ഒരു സർട്ടിഫിക്കറ്റിനുള്ള ഉദാഹരണ വിശദാംശങ്ങൾ:

$ kubectl cert-manager status certificate example
Name: example
[...]
Secret:
  Name: example
  Issuer Country: US
  Issuer Organisation: Let's Encrypt
  Issuer Common Name: Let's Encrypt Authority X3
  Key Usage: Digital Signature, Key Encipherment
  Extended Key Usages: Server Authentication, Client Authentication
  Public Key Algorithm: RSA
  Signature Algorithm: SHA256-RSA
  Subject Key ID: 65081d98a9870764590829b88c53240571997862
  Authority Key ID: a84a6a63047dddbae6d139b7a64565eff3a8eca1
  Serial Number: 0462ffaa887ea17797e0057ca81d7ba2a6fb
  Events:  <none>
Not Before: 2020-06-02T04:29:56+02:00
Not After: 2020-08-31T04:29:56+02:00
Renewal Time: 2020-08-01T04:29:56+02:00
[...]

ഏറ്റവും പുതിയ സ്ഥിരതയുള്ള കുബർനെറ്റസ് API-കൾ പ്രയോജനപ്പെടുത്തുക

കുബർനെറ്റസ് സിആർഡികൾ ആദ്യമായി നടപ്പിലാക്കിയവരിൽ ഒരാളാണ് സെർട്ട് മാനേജർ. ഇത്, 1.11 വരെയുള്ള കുബർനെറ്റസ് പതിപ്പുകൾക്കുള്ള ഞങ്ങളുടെ പിന്തുണയ്‌ക്കൊപ്പം, ഞങ്ങൾ ലെഗസിയെ പിന്തുണയ്‌ക്കേണ്ടതുണ്ട് എന്നാണ് അർത്ഥമാക്കുന്നത്. apiextensions.k8s.io/v1beta1 നമ്മുടെ സിആർഡികൾക്കും admissionregistration.k8s.io/v1beta1 ഞങ്ങളുടെ വെബ്‌ഹുക്കുകൾക്കായി. ഇവ ഇപ്പോൾ ഒഴിവാക്കി, 1.22 പതിപ്പ് പ്രകാരം കുബർനെറ്റസിൽ നീക്കം ചെയ്യും. ഞങ്ങളുടെ 1.0 ഉപയോഗിച്ച് ഞങ്ങൾ ഇപ്പോൾ പൂർണ്ണ പിന്തുണ വാഗ്ദാനം ചെയ്യുന്നു apiextensions.k8s.io/v1 и admissionregistration.k8s.io/v1 കുബെർനെറ്റസ് 1.16-നും (അവർ എവിടെ ചേർത്തു) അതിനുശേഷവും. മുൻ പതിപ്പുകളുടെ ഉപയോക്താക്കൾക്ക്, ഞങ്ങൾ പിന്തുണ വാഗ്ദാനം ചെയ്യുന്നത് തുടരുന്നു v1beta1 നമ്മുടെ legacy പതിപ്പുകൾ.

മെച്ചപ്പെട്ട ലോഗിംഗ്

ഈ പതിപ്പിൽ ഞങ്ങൾ ലോഗിംഗ് ലൈബ്രറി അപ്ഡേറ്റ് ചെയ്തിട്ടുണ്ട് klog/v2, Kubernetes 1.19-ൽ ഉപയോഗിച്ചു. ഞങ്ങൾ എഴുതുന്ന ഓരോ മാസികയും ഉചിതമായ തലം നൽകിയിട്ടുണ്ടെന്ന് ഉറപ്പാക്കാൻ ഞങ്ങൾ അവലോകനം ചെയ്യുന്നു. ഞങ്ങൾ ഇതിലൂടെ നയിക്കപ്പെട്ടു കുബർനെറ്റസിൽ നിന്നുള്ള മാർഗ്ഗനിർദ്ദേശം. അഞ്ച് ഉണ്ട് (വാസ്തവത്തിൽ - ആറ്, ഏകദേശം. വിവർത്തകൻ) ലോഗിംഗ് ലെവലുകൾ ആരംഭിക്കുന്നു Error (ലെവൽ 0), ഇത് പ്രധാനപ്പെട്ട പിശകുകൾ മാത്രം പ്രിന്റ് ചെയ്യുകയും അവസാനിക്കുകയും ചെയ്യുന്നു Trace (ലെവൽ 5), എന്താണ് സംഭവിക്കുന്നതെന്ന് കൃത്യമായി കണ്ടെത്താൻ നിങ്ങളെ സഹായിക്കും. cert-manager പ്രവർത്തിപ്പിക്കുമ്പോൾ ഡീബഗ്ഗിംഗ് വിവരങ്ങൾ ആവശ്യമില്ലെങ്കിൽ ഈ മാറ്റത്തിലൂടെ ഞങ്ങൾ ലോഗുകളുടെ എണ്ണം കുറച്ചു.

നുറുങ്ങ്: സ്ഥിരസ്ഥിതിയായി, ലെവൽ 2-ൽ സർട്ട് മാനേജർ പ്രവർത്തിക്കുന്നു (Info), നിങ്ങൾക്ക് ഇത് ഉപയോഗിച്ച് അസാധുവാക്കാനാകും global.logLevel ഹെൽം ചാർട്ടിൽ.

ശ്രദ്ധിക്കുക: ട്രബിൾഷൂട്ട് ചെയ്യുമ്പോൾ ലോഗുകൾ അവലോകനം ചെയ്യുക എന്നതാണ് നിങ്ങളുടെ അവസാന ആശ്രയം. കൂടുതൽ വിവരങ്ങൾക്ക് ഞങ്ങളുടെ പരിശോധിക്കുക നേതൃത്വം.

എഡിറ്റർ എൻ.ബി: കുബെർനെറ്റസിന്റെ കീഴിൽ ഇതെല്ലാം എങ്ങനെ പ്രവർത്തിക്കുന്നു എന്നതിനെക്കുറിച്ച് കൂടുതലറിയാനും പ്രാക്ടീസ് ചെയ്യുന്ന അധ്യാപകരിൽ നിന്ന് വിലപ്പെട്ട ഉപദേശം നേടാനും ഉയർന്ന നിലവാരമുള്ള സാങ്കേതിക പിന്തുണ നേടാനും നിങ്ങൾക്ക് ഓൺലൈൻ ഇന്റൻസീവ് കോഴ്‌സുകളിൽ പങ്കെടുക്കാം. കുബെർനെറ്റസ് ബേസ്, സെപ്റ്റംബർ 28-30 വരെ നടക്കും കുബെർനെറ്റസ് മെഗാ, അത് ഒക്ടോബർ 14-16 വരെ നടക്കും.

ACME മെച്ചപ്പെടുത്തലുകൾ

ACME ഉപയോഗിച്ച് ലെറ്റ്സ് എൻക്രിപ്റ്റ് ചെയ്യുന്നതിൽ നിന്നുള്ള സർട്ടിഫിക്കറ്റുകൾ നൽകുന്നതുമായി ബന്ധപ്പെട്ടതാകാം സർട്ട് മാനേജറിന്റെ ഏറ്റവും സാധാരണമായ ഉപയോഗം. ഞങ്ങളുടെ ACME ഇഷ്യൂവറിൽ ചെറുതും എന്നാൽ പ്രധാനപ്പെട്ടതുമായ രണ്ട് മെച്ചപ്പെടുത്തലുകൾ ചേർക്കുന്നതിന് കമ്മ്യൂണിറ്റി ഫീഡ്‌ബാക്ക് ഉപയോഗിക്കുന്നതിന് പതിപ്പ് 1.0 ശ്രദ്ധേയമാണ്.

അക്കൗണ്ട് കീ ജനറേഷൻ പ്രവർത്തനരഹിതമാക്കുക

നിങ്ങൾ വലിയ വോള്യങ്ങളിൽ ACME സർട്ടിഫിക്കറ്റുകൾ ഉപയോഗിക്കുകയാണെങ്കിൽ, നിങ്ങൾ ഒന്നിലധികം ക്ലസ്റ്ററുകളിൽ ഒരേ അക്കൗണ്ട് ഉപയോഗിക്കുന്നുണ്ടാകാം, അതിനാൽ നിങ്ങളുടെ സർട്ടിഫിക്കറ്റ് വിതരണ നിയന്ത്രണങ്ങൾ അവയ്‌ക്കെല്ലാം ബാധകമാകും. വ്യക്തമാക്കിയ രഹസ്യം പകർത്തുമ്പോൾ സർട്ടിഫിക്കറ്റ് മാനേജറിൽ ഇത് ഇതിനകം തന്നെ സാധ്യമായിരുന്നു privateKeySecretRef. Cert-manager സഹായകരമാകാൻ ശ്രമിക്കുകയും ഒരു പുതിയ അക്കൗണ്ട് കീ കണ്ടെത്താനായില്ലെങ്കിൽ സന്തോഷത്തോടെ ഒരു പുതിയ അക്കൗണ്ട് സൃഷ്ടിക്കുകയും ചെയ്‌തതിനാൽ ഈ ഉപയോഗ കേസ് വളരെ ബഗ്ഗി ആയിരുന്നു. അതുകൊണ്ടാണ് ഞങ്ങൾ ചേർത്തത് disableAccountKeyGenerationഈ ഓപ്ഷൻ സജ്ജീകരിക്കുന്നതിലൂടെ ഈ സ്വഭാവത്തിൽ നിന്ന് നിങ്ങളെ പരിരക്ഷിക്കുന്നതിന് true - cert-manager ഒരു കീ ജനറേറ്റ് ചെയ്യില്ല, അതിന് ഒരു അക്കൗണ്ട് കീ നൽകിയിട്ടില്ലെന്ന് നിങ്ങൾക്ക് മുന്നറിയിപ്പ് നൽകും.

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: letsencrypt
spec:
  acme:
    privateKeySecretRef:
      name: example-issuer-account-key
    disableAccountKeyGeneration: false

ഇഷ്ടപ്പെട്ട ചെയിൻ

സെപ്റ്റംബർ 29 നമുക്ക് എൻക്രിപ്റ്റ് ചെയ്യാം നീങ്ങും നിങ്ങളുടെ സ്വന്തം റൂട്ട് സർട്ടിഫിക്കറ്റ് അതോറിറ്റിക്ക് ISRG Root. ക്രോസ് സൈൻ ചെയ്ത സർട്ടിഫിക്കറ്റുകൾ മാറ്റിസ്ഥാപിക്കും Identrust. ഈ മാറ്റത്തിന് സർട്ടിഫിക്കറ്റ് മാനേജർ ക്രമീകരണങ്ങളിൽ മാറ്റങ്ങൾ ആവശ്യമില്ല; ഈ തീയതിക്ക് ശേഷം നൽകുന്ന എല്ലാ അപ്ഡേറ്റ് ചെയ്ത അല്ലെങ്കിൽ പുതിയ സർട്ടിഫിക്കറ്റുകളും പുതിയ റൂട്ട് CA ഉപയോഗിക്കും.

ഈ CA ഉപയോഗിച്ച് ഇതിനകം തന്നെ എൻക്രിപ്റ്റ് ചെയ്‌ത് സർട്ടിഫിക്കറ്റുകൾ സൈൻ ചെയ്‌ത് അവയെ ACME വഴി ഒരു "ഇതര സർട്ടിഫിക്കറ്റ് ശൃംഖല" ആയി വാഗ്ദാനം ചെയ്യുന്നു. ഇഷ്യൂവർ ക്രമീകരണങ്ങളിൽ ഈ ശൃംഖലകളിലേക്ക് ആക്‌സസ് സജ്ജീകരിക്കാനുള്ള കഴിവ് സെർട്ട് മാനേജറിന്റെ ഈ പതിപ്പിന് ഉണ്ട്. പരാമീറ്ററിൽ preferredChain സർട്ടിഫിക്കറ്റ് നൽകാൻ ഉപയോഗിച്ച സിഎയുടെ പേര് നിങ്ങൾക്ക് വ്യക്തമാക്കാം. അഭ്യർത്ഥനയുമായി പൊരുത്തപ്പെടുന്ന ഒരു CA സർട്ടിഫിക്കറ്റ് ലഭ്യമാണെങ്കിൽ, അത് നിങ്ങൾക്ക് ഒരു സർട്ടിഫിക്കറ്റ് നൽകും. ഇത് മുൻഗണനയുള്ള ഓപ്ഷനാണെന്ന കാര്യം ശ്രദ്ധിക്കുക; ഒന്നും കണ്ടെത്തിയില്ലെങ്കിൽ, ഒരു സ്ഥിരസ്ഥിതി സർട്ടിഫിക്കറ്റ് നൽകും. ACME ഇഷ്യൂവർ ഭാഗത്തുള്ള ഇതര ശൃംഖല ഇല്ലാതാക്കിയതിന് ശേഷവും നിങ്ങളുടെ സർട്ടിഫിക്കറ്റ് പുതുക്കുമെന്ന് ഇത് ഉറപ്പാക്കും.

ഇന്ന് നിങ്ങൾക്ക് ഒപ്പിട്ട സർട്ടിഫിക്കറ്റുകൾ ലഭിക്കും ISRG Root, അങ്ങനെ:

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: letsencrypt
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    preferredChain: "ISRG Root X1"

നിങ്ങൾ ചെയിൻ ഉപേക്ഷിക്കാൻ ആഗ്രഹിക്കുന്നുവെങ്കിൽ IdenTrust - ഈ പരാമീറ്റർ സജ്ജമാക്കുക DST Root CA X3:

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: letsencrypt
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    preferredChain: "DST Root CA X3"

ഈ റൂട്ട് CA ഉടൻ തന്നെ ഒഴിവാക്കപ്പെടും, 29 സെപ്റ്റംബർ 2021 വരെ എൻക്രിപ്റ്റ് ഈ ശൃംഖല സജീവമായി നിലനിർത്തും.

അവലംബം: www.habr.com

cert-manager 1.0 പുറത്തിറക്കി

റിലീസ് കുറിപ്പുകൾ

API v1

അപ്ഡേറ്റ് ചെയ്യുക

kubectl cert-manager സ്റ്റാറ്റസ് കമാൻഡ്

ഏറ്റവും പുതിയ സ്ഥിരതയുള്ള കുബർനെറ്റസ് API-കൾ പ്രയോജനപ്പെടുത്തുക

മെച്ചപ്പെട്ട ലോഗിംഗ്

ACME മെച്ചപ്പെടുത്തലുകൾ

അക്കൗണ്ട് കീ ജനറേഷൻ പ്രവർത്തനരഹിതമാക്കുക

ഇഷ്ടപ്പെട്ട ചെയിൻ

ഒരു അഭിപ്രായം ചേർക്കുക

cert-manager 1.0 പുറത്തിറക്കി

റിലീസ് കുറിപ്പുകൾ

API v1

അപ്ഡേറ്റ് ചെയ്യുക

kubectl cert-manager സ്റ്റാറ്റസ് കമാൻഡ്

ഏറ്റവും പുതിയ സ്ഥിരതയുള്ള കുബർനെറ്റസ് API-കൾ പ്രയോജനപ്പെടുത്തുക

മെച്ചപ്പെട്ട ലോഗിംഗ്

ACME മെച്ചപ്പെടുത്തലുകൾ

അക്കൗണ്ട് കീ ജനറേഷൻ പ്രവർത്തനരഹിതമാക്കുക

ഇഷ്ടപ്പെട്ട ചെയിൻ

ഒരു അഭിപ്രായം ചേർക്കുക മറുപടി റദ്ദാക്കാൻ

ഒരു അഭിപ്രായം ചേർക്കുക