Требуется ли для секрета TLS входного секретного ключа SSL для __INGRESS_SECRET__?

Question

Я пытаюсь

kubectl create secret tls foo-secret --key /tls.key --cert /tls.crt

Из ключей и сертификатов, которые я использовал, сделанные из LetsEncrypt.Этот процесс имеет смысл с самозаверяющими сертификатами, но файлы, созданные LetsEncrypt, выглядят так:

cert.pem
chain.pem
fullchain.pem
privkey.pem

Я могу конвертировать эти файлы pem, я не знаю, является ли --key want открытым ключом илизакрытый ключ, и единственный вариант здесь - privkey.pem.Я предполагаю, что сертификат является сертификатом.

Я могу конвертировать private.pem с:

openssl rsa -outform der -in privkey.pem -out private.key

И cert.pem с:

openssl x509 -outform der -in cert.pem -out cert.crt

Это правильный процесс?Поскольку я буду использовать этот секрет для ingress oauth вместо __INGRESS_SECRET__, предполагается, что этот вход будет иметь закрытый ключ?Этот вход действует как терминатор TLS для других вещей.

Answer 1

Вы правы, вам нужно будет предоставить свой закрытый ключ для части tls.key.Однако рекомендуется автоматизировать процесс генерации сертификата letsencrypt, используя cert-manager .Проверьте это учебник .Донг так автоматически создаст для вас секретный ресурс tls в кластере.

Ваш tls.key файл является закрытым ключом и начинается и заканчивается следующим образом:

-----BEGIN RSA PRIVATE KEY-----

    ... [your private key]

-----END RSA PRIVATE KEY-----

И ваш tls.crt будет объединением cert.pem и fullchain.pem, и он будет выглядеть следующим образом:

-----BEGIN CERTIFICATE-----

    ...
    [your cert content]

-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----

    ...
    [your fullchain cert content]

-----END CERTIFICATE-----