Skip to main content
Une version plus récente de ce produit est disponible.
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Ajouter un certificat TLS personnalisé

Contributeurs

Vous pouvez supprimer le certificat TLS auto-signé existant et le remplacer par un certificat TLS signé par une autorité de certification (AC).

Ce dont vous avez besoin

  • Cluster Kubernetes avec Astra Control Center installé

  • Accès administratif à un shell de commande sur le cluster à exécuter kubectl commandes

  • Clé privée et fichiers de certificat de l’autorité de certification

Supprimez le certificat auto-signé

Supprimez le certificat TLS auto-signé existant.

  1. Avec SSH, connectez-vous au cluster Kubernetes qui héberge Astra Control Center en tant qu’utilisateur administratif.

  2. Recherchez le code secret TLS associé au certificat en cours à l’aide de la commande suivante, remplacement <ACC-deployment-namespace> Avec l’espace de noms de déploiement d’Astra Control Center :

    kubectl get certificate -n <ACC-deployment-namespace>

  3. Supprimez le certificat et le secret actuellement installés à l’aide des commandes suivantes :

    kubectl delete cert cert-manager-certificates -n <ACC-deployment-namespace>
kubectl delete secret secure-testing-cert -n <ACC-deployment-namespace>

Ajoutez un nouveau certificat

Ajoutez un nouveau certificat TLS signé par une autorité de certification.

  1. Utilisez la commande suivante pour créer le nouveau secret TLS avec la clé privée et les fichiers de certificat de l’autorité de certification, en remplaçant les arguments entre parenthèses <> par les informations appropriées :

    kubectl create secret tls <secret-name> --key <private-key-filename> --cert <certificate-filename> -n <ACC-deployment-namespace>

  2. Utilisez la commande et l’exemple suivants pour modifier le fichier CRD (Custom Resource Definition) du cluster et modifier spec.selfSigned valeur à spec.ca.secretName Pour consulter le secret TLS créé précédemment :

    kubectl edit clusterissuers.cert-manager.io/cert-manager-certificates -n <ACC-deployment-namespace>
....

#spec:
#  selfSigned: {}

spec:
  ca:
    secretName: <secret-name>

  3. Utilisez la commande suivante et exemple de résultat pour vérifier que les modifications sont correctes et le cluster est prêt à valider les certificats, en remplaçant <ACC-deployment-namespace> Avec l’espace de noms de déploiement d’Astra Control Center :

    kubectl describe clusterissuers.cert-manager.io/cert-manager-certificates -n <ACC-deployment-namespace>
....

Status:
  Conditions:
    Last Transition Time:  2021-07-01T23:50:27Z
    Message:               Signing CA verified
    Reason:                KeyPairVerified
    Status:                True
    Type:                  Ready
Events:                    <none>

  4. Créer le certificate.yaml fichier avec l’exemple suivant, en remplaçant les valeurs de paramètre fictif entre parenthèses <> par les informations appropriées :

    apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: <certificate-name>
  namespace: <ACC-deployment-namespace>
spec:
  secretName: <certificate-secret-name>
  duration: 2160h # 90d
  renewBefore: 360h # 15d
  dnsNames:
  - <astra.dnsname.example.com> #Replace with the correct Astra Control Center DNS address
  issuerRef:
    kind: ClusterIssuer
    name: cert-manager-certificates

  5. Créez le certificat à l’aide de la commande suivante :

    kubectl apply -f certificate.yaml

  6. À l’aide de la commande et de l’exemple de sortie suivants, vérifiez que le certificat a été créé correctement et avec les arguments que vous avez spécifiés lors de la création (tels que le nom, la durée, la date limite de renouvellement et les noms DNS).

    kubectl describe certificate -n <ACC-deployment-namespace>
....

Spec:
  Dns Names:
    astra.example.com
  Duration:  125h0m0s
  Issuer Ref:
    Kind:        ClusterIssuer
    Name:        cert-manager-certificates
  Renew Before:  61h0m0s
  Secret Name:   <certificate-secret-name>
Status:
  Conditions:
    Last Transition Time:  2021-07-02T00:45:41Z
    Message:               Certificate is up to date and has not expired
    Reason:                Ready
    Status:                True
    Type:                  Ready
  Not After:               2021-07-07T05:45:41Z
  Not Before:              2021-07-02T00:45:41Z
  Renewal Time:            2021-07-04T16:45:41Z
  Revision:                1
Events:                    <none>

  7. Modifiez l’option Ingress CRD TLS pour pointer vers votre nouveau secret de certificat à l’aide de la commande suivante et de l’exemple, en remplaçant les valeurs de paramètre fictif entre parenthèses <> par les informations appropriées :

    kubectl edit ingressroutes.traefik.containo.us -n <ACC-deployment-namespace>
....

# tls:
#    options:
#      name: default
#    secretName: secure-testing-cert
#    store:
#      name: default

 tls:
    options:
      name: default
    secretName: <certificate-secret-name>
    store:
      name: default

  8. À l’aide d’un navigateur Web, accédez à l’adresse IP de déploiement d’Astra Control Center.

  9. Vérifiez que les détails du certificat correspondent aux détails du certificat que vous avez installé.

  10. Exportez le certificat et importez le résultat dans le gestionnaire de certificats de votre navigateur Web.