Zum Inhalt

SSL/TLS-Zertifikate

KanjiIQ verwendet cert-manager mit Let's Encrypt für automatische TLS-Zertifikatsbereitstellung und -erneuerung.

Funktionsweise

sequenceDiagram
    participant I as Ingress Resource
    participant CM as cert-manager
    participant LE as Let's Encrypt
    participant T as Traefik
    participant S as K8s Secret

    I->>CM: New Ingress with cert-manager annotation
    CM->>LE: Request certificate (ACME HTTP-01)
    LE->>T: HTTP-01 challenge request
    T->>LE: Challenge response
    LE->>CM: Certificate issued
    CM->>S: Store as TLS Secret
    T->>S: Read certificate
    Note over T: HTTPS now active
    CM->>CM: Monitor expiry (auto-renew at 30 days)

ClusterIssuer

Ein clusterweiter Issuer ist für Let's Encrypt Produktion konfiguriert:

apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: letsencrypt-prod
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    email: [email protected]
    privateKeySecretRef:
      name: letsencrypt-prod
    solvers:
      - http01:
          ingress:
            class: traefik

Zertifikate anfordern

Jede Ingress-Ressource kann ein TLS-Zertifikat durch Hinzufügen einer einzigen Annotation anfordern:

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  annotations:
    cert-manager.io/cluster-issuer: letsencrypt-prod
spec:
  tls:
    - hosts:
        - kanjiiq.com
        - api.kanjiiq.com
      secretName: kanjiiq-tls  # cert-manager creates this

cert-manager überwacht Ingress-Ressourcen mit seiner Annotation und führt automatisch Folgendes aus:

  1. Erstellt eine Certificate-Ressource
  2. Führt die ACME HTTP-01-Challenge über Traefik durch
  3. Speichert das ausgestellte Zertifikat im angegebenen Secret
  4. Erneuert 30 Tage vor Ablauf

Aktuelle Zertifikate

Secret-Name Domains Ingress
kanjiiq-tls kanjiiq.com, www.kanjiiq.com, api.kanjiiq.com, admin.kanjiiq.com ingress-kanjiiq.yaml
kanjiiq-docs-tls docs.kanjiiq.app ingress-docs.yaml

Fehlerbehebung

Zertifikatsstatus prüfen:

# List all certificates
kubectl get certificates -n jlpt-kanji

# Check certificate details
kubectl describe certificate kanjiiq-tls -n jlpt-kanji

# Check cert-manager logs
kubectl logs -n cert-manager deploy/cert-manager

# View certificate challenges in progress
kubectl get challenges -n jlpt-kanji

Häufige Probleme:

  • Challenge schlägt fehl: Stellen Sie sicher, dass DNS-A-Records auf den Server zeigen und Port 80 erreichbar ist
  • Rate-Limited: Let's Encrypt hat ein Limit von 50 Zertifikaten pro Woche und Domain
  • Secret wird nicht erstellt: Prüfen Sie die cert-manager-Logs auf ACME-Fehler