Сертификат SSL не доверяют всем браузерам

Question

У нас есть шаблонный сертификат от DigiCert, который установлен на нашем экземпляре aks, и он отлично работает для IE и Chrome, но у firefox есть огромные проблемы с ним, не доверяя сайту.Когда я запускаю сайт с помощью SSL Checker, это означает, что

The certificate is not trusted in all web browsers. You may need to install an Intermediate/chain certificate to link it to a trusted root certificate.

Ниже приведены инструкции по первоначальной установке сертификатов:

Установка сертификата SSL в каждое пространство имен Экспорт сертификата изpfx-файл. Для этого вам понадобится openssl.Это лучший ресурс, который я смог найти для установки и использования в Windows 10.

openssl pkcs12 -in filename.pfx -clcerts -nokeys -out cert.txt

Откройте файл .txt и удалите заголовок (т.е. сохраните его в ----- BEGIN CERTIFICATE -----до конца)

Экспорт закрытого ключа из файла pfx

openssl pkcs12 -in filename.pfx -nocerts -out key.txt

Откройте файл .txt и удалите заголовок (т. е. сохраните его из ----- НАЧАТЬ ЗАПИСАННЫЙ ЧАСТНЫЙ КЛЮЧ----- до конца)

Удалите парольную фразу из закрытого ключа

openssl rsa -in key.txt -out server.txt

Создайте секреты Подключитесь к кубу через cli лазури, затем выполните команду:

az aks get-credentials -g aks-rg -n clustername

для слияния куба с вашим kubectl cli.

Если вам нужно удалить ранее установленные сертификаты, вы должны выполнить следующие команды:

kubectl delete secret clustername-tls --namespace dev
kubectl delete secret clustername-tls --namespace test
kubectl delete secret clustername-tls --namespace uat
kubectl delete secret clustername-tls --namespace prod

Чтобы создать новыйcerts:

kubectl create secret tls clustername-tls --key server.txt --cert cert.txt --namespace dev
kubectl create secret tls clustername-tls --key server.txt --cert cert.txt --namespace test
kubectl create secret tls clustername-tls --key server.txt --cert cert.txt --namespace uat
kubectl create secret tls clustername-tls --key server.txt --cert cert.txt --namespace prod

Что было упущено для правильной установки промежуточного сертификата?

Answer 1

вы используете этот секрет как tls-secret во входе.

вы должны реализовать вход с помощью контроллера входа и использовать свой секрет там, внутри пути.

Вы можете следовать этому руководству, чтобы настроить контроллер ingress-nginx с помощью cert-manager.

ingress nginx будет работать как балансировщик нагрузки и выставлять приложение в интернете. certmanager будет работать как управляющий сертификатами ssl и tls.

cert-manager автоматически генерирует сертификат SSL и управляет им.

Пожалуйста, следуйте этому: https://www.digitalocean.com/community/tutorials/how-to-set-up-an-nginx-ingress-with-cert-manager-on-digitalocean-kubernetes