9.7. ACME 발급자 구성

9.7.1. ACME 발행자 정보
링크 복사

cert-manager Operator for Red Hat OpenShift의 ACME 발행자 유형은 ACME(Automated Certificate Management Environment) 인증 기관(CA) 서버를 나타냅니다. ACME CA 서버는 클라이언트가 인증서가 요청되는 도메인 이름을 소유하고 있는지 확인하는 챌린지에 의존합니다. 문제가 발생하면 cert-manager Operator for Red Hat OpenShift에서 인증서를 발행할 수 있습니다. 챌린지가 실패하면 cert-manager Operator for Red Hat OpenShift에서 인증서를 발행하지 않습니다.

참고

Let's Encrypt 및 Internet ACME 서버에서는 프라이빗 DNS 영역이 지원되지 않습니다.

9.7.1.1. 지원되는 ACME 챌린지 유형
링크 복사

cert-manager Operator for Red Hat OpenShift는 ACME 발행자를 위해 다음과 같은 챌린지 유형을 지원합니다.

HTTP-01

HTTP-01 챌린지 유형을 사용하면 도메인의 HTTP URL 끝점에 계산된 키를 제공합니다. ACME CA 서버가 URL에서 키를 가져올 수 있는 경우 도메인 소유자로 유효성을 검사할 수 있습니다.

자세한 내용은 업스트림 cert-manager 설명서의 HTTP01 을 참조하십시오.

참고

HTTP-01을 사용하려면 Let's Encrypt 서버가 클러스터 경로에 액세스할 수 있어야 합니다. 내부 또는 프라이빗 클러스터가 프록시 뒤에 있는 경우 인증서 발행을 위한 HTTP-01 검증에 실패합니다.

HTTP-01 챌린지는 포트 80으로 제한됩니다. 자세한 내용은 HTTP-01 챌린지 (Let's Encrypt)를 참조하십시오.

DNS-01

DNS-01 챌린지 유형을 사용하면 DNS TXT 레코드에서 계산된 키를 제공합니다. ACME CA 서버가 DNS 조회로 키를 가져올 수 있는 경우 도메인 소유자로 유효성을 검사할 수 있습니다.

자세한 내용은 업스트림 cert-manager 문서의 DNS01 을 참조하십시오.

9.7.1.2. 지원되는 DNS-01 공급자
링크 복사

cert-manager Operator for Red Hat OpenShift는 ACME 발행자를 위한 다음 DNS-01 공급자를 지원합니다.

Amazon Route 53
Azure DNS
참고
cert-manager Operator for Red Hat OpenShift는 Microsoft Entra ID Pod ID를 사용하여 pod에 관리 ID를 할당하도록 지원하지 않습니다.
Google Cloud DNS
Webhook
Red Hat은 OpenShift Container Platform에서 cert-manager가 있는 외부 Webhook를 사용하여 DNS 공급자를 테스트하고 지원합니다. 다음 DNS 공급자는 OpenShift Container Platform에서 테스트 및 지원됩니다.
- cert-manager-webhook-ibmcis
참고
나열되지 않은 DNS 공급자를 사용하면 OpenShift Container Platform에서 작동할 수 있지만 해당 공급자는 Red Hat에서 테스트되지 않았으므로 Red Hat에서 지원되지 않습니다.

9.7.2. HTTP-01 문제를 해결하기 위한 ACME 발급자 구성
링크 복사

Red Hat OpenShift용 cert-manager Operator를 사용하면 HTTP-01 문제를 해결하기 위해 ACME 발급자를 설정할 수 있습니다. 이 절차에서는 ACME CA 서버로 Let's Encrypt를 사용합니다.

사전 요구 사항

cluster-admin 역할의 사용자로 클러스터에 액세스할 수 있어야 합니다.
공개하고 싶은 서비스가 있습니다. 이 절차에서 서비스 이름은 sample-workload 입니다.

프로세스

ACME 클러스터 발급자를 생성합니다.

ClusterIssuer 객체를 정의하는 YAML 파일을 만듭니다.

acme-cluster-issuer.yaml 파일 예시

apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: letsencrypt-staging                                        
spec:
  acme:
    preferredChain: ""
    privateKeySecretRef:
      name: <secret_for_private_key>                               
    server: https://acme-staging-v02.api.letsencrypt.org/directory 
    solvers:
    - http01:
        ingress:
          ingressClassName: openshift-default

apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: letsencrypt-staging

1


spec:
  acme:
    preferredChain: ""
    privateKeySecretRef:
      name: <secret_for_private_key>

2


    server: https://acme-staging-v02.api.letsencrypt.org/directory

3


    solvers:
    - http01:
        ingress:
          ingressClassName: openshift-default

4

Copy to Clipboard

Toggle word wrap

1: 클러스터 발급자의 이름을 제공합니다.
2: <secret_private_key>를 ACME 계정 개인 키를 저장할 비밀번호의 이름으로 바꾸세요.
3: ACME 서버의 디렉토리 엔드포인트에 액세스하기 위한 URL을 지정합니다. 이 예제에서는 Let's Encrypt 스테이징 환경을 사용합니다.
4: Ingress 클래스를 지정합니다.

선택 사항: ingressClassName을 지정하지 않고 객체를 생성하는 경우 다음 명령을 사용하여 기존 ingress에 패치를 적용합니다.

oc patch ingress/<ingress-name> --type=merge --patch '{"spec":{"ingressClassName":"openshift-default"}}' -n <namespace>

$ oc patch ingress/<ingress-name> --type=merge --patch '{"spec":{"ingressClassName":"openshift-default"}}' -n <namespace>

Copy to Clipboard

Toggle word wrap

다음 명령을 실행하여 ClusterIssuer 객체를 만듭니다.
```
oc create -f acme-cluster-issuer.yaml
```
```
$ oc create -f acme-cluster-issuer.yaml
```
Copy to Clipboard Toggle word wrap

사용자 워크로드의 서비스를 공개하기 위해 Ingress를 생성합니다.

네임스페이스 객체를 정의하는 YAML 파일을 만듭니다.
namespace.yaml 파일 예
```
apiVersion: v1
kind: Namespace
metadata:
  name: my-ingress-namespace 
```
```
apiVersion: v1
kind: Namespace
metadata:
  name: my-ingress-namespace 
```
1
Copy to Clipboard Toggle word wrap
1
Ingress에 대한 네임스페이스를 지정합니다.
다음 명령을 실행하여 네임스페이스 객체를 만듭니다.
```
oc create -f namespace.yaml
```
```
$ oc create -f namespace.yaml
```
Copy to Clipboard Toggle word wrap

Ingress 오브젝트를 정의하는 YAML 파일을 생성합니다.

ingress.yaml 파일 예

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: sample-ingress                                           
  namespace: my-ingress-namespace                                
  annotations:
    cert-manager.io/cluster-issuer: letsencrypt-staging          
spec:
  ingressClassName: openshift-default                            
  tls:
  - hosts:
    - <hostname>                                                 
    secretName: sample-tls                                       
  rules:
  - host: <hostname>                                             
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: sample-workload                                
            port:
              number: 80

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: sample-ingress

1


  namespace: my-ingress-namespace

2


  annotations:
    cert-manager.io/cluster-issuer: letsencrypt-staging

3


spec:
  ingressClassName: openshift-default

4


  tls:
  - hosts:
    - <hostname>

5


    secretName: sample-tls

6


  rules:
  - host: <hostname>

7


    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: sample-workload

8


            port:
              number: 80

Copy to Clipboard

Toggle word wrap

1: Ingress의 이름을 지정합니다.
2: Ingress에 대해 생성한 네임스페이스를 지정합니다.
3: 생성한 클러스터 발급자를 지정하세요.
4: Ingress 클래스를 지정합니다.
5: <호스트 이름>을 인증서와 연결할 주체 대체 이름(SAN)으로 바꾸세요. 이 이름은 인증서에 DNS 이름을 추가하는 데 사용됩니다.
6: 인증서를 저장하는 비밀번호를 지정합니다.
7: <호스트 이름>을 호스트 이름으로 바꾸세요. <host_name>.<cluster_ingress_domain> 구문을 사용하면 *.<cluster_ingress_domain> 와일드카드 DNS 레코드와 클러스터에 대한 제공 인증서를 활용할 수 있습니다. 예를 들어, apps.<cluster_base_domain> 을 사용할 수 있습니다. 그렇지 않은 경우, 선택한 호스트 이름에 대한 DNS 레코드가 있는지 확인해야 합니다.
8: 공개할 서비스의 이름을 지정합니다. 이 예제에서는 sample-workload 라는 서비스를 사용합니다.

다음 명령을 실행하여 Ingress 객체를 만듭니다.
```
oc create -f ingress.yaml
```
```
$ oc create -f ingress.yaml
```
Copy to Clipboard Toggle word wrap

9.7.3. AWS Route53에 대한 명시적 자격 증명을 사용하여 ACME 발급자 구성
링크 복사

Red Hat OpenShift용 cert-manager Operator를 사용하면 AWS에서 명시적 자격 증명을 사용하여 DNS-01 문제를 해결하기 위한 ACME(자동화된 인증서 관리 환경) 발급자를 설정할 수 있습니다. 이 절차에서는 Let's Encrypt를 ACME 인증 기관(CA) 서버로 사용하고 Amazon Route 53을 사용하여 DNS-01 문제를 해결하는 방법을 보여줍니다.

사전 요구 사항

명시적인 accessKeyID 및 secretAccessKey 자격 증명을 제공해야 합니다. 자세한 내용은 업스트림 cert-manager 문서의 Route53 을 참조하십시오.
참고
AWS에서 실행되지 않는 OpenShift Container Platform 클러스터에서 명시적 자격 증명을 사용하여 Amazon Route 53을 사용할 수 있습니다.

프로세스

선택 사항: DNS-01 자체 검사에 대한 네임서버 설정을 재정의합니다.
이 단계는 대상 퍼블릭 호스팅 영역이 클러스터의 기본 프라이빗 호스팅 영역과 겹치는 경우에만 필요합니다.
1. 다음 명령을 실행하여 CertManager 리소스를 편집합니다.
  $ oc edit certmanager cluster
  Copy to Clipboard Toggle word wrap
2. 다음 재정의 인수를 사용하여 spec.controllerConfig 섹션을 추가합니다.
  apiVersion: operator.openshift.io/v1alpha1 kind: CertManager metadata: name: cluster ... spec: ... controllerConfig:
  1
  overrideArgs: - '--dns01-recursive-nameservers-only'
  2
  - '--dns01-recursive-nameservers=1.1.1.1:53'
  3
  Copy to Clipboard Toggle word wrap
  1
  spec.controllerConfig 섹션을 추가합니다.
  2
  해당 도메인에 연결된 권한 있는 네임서버를 확인하는 대신 재귀적 네임서버만 사용하도록 지정합니다.
  3
  DNS-01 자체 검사를 위해 쿼리할 <호스트>:<포트> 네임서버의 쉼표로 구분된 목록을 제공합니다. 공개 영역과 프라이빗 영역이 겹치지 않도록 1.1.1.1:53 값을 사용해야 합니다.
3. 파일을 저장하여 변경 사항을 적용합니다.
선택 사항: 발급자에 대한 네임스페이스를 만듭니다.
```
oc new-project <issuer_namespace>
```
```
$ oc new-project <issuer_namespace>
```
Copy to Clipboard Toggle word wrap

다음 명령을 실행하여 AWS 자격 증명을 저장할 비밀을 만듭니다.

oc create secret generic aws-secret --from-literal=awsSecretAccessKey=<aws_secret_access_key> \
    -n my-issuer-namespace

$ oc create secret generic aws-secret --from-literal=awsSecretAccessKey=<aws_secret_access_key> \

1


    -n my-issuer-namespace

Copy to Clipboard

Toggle word wrap

1: <aws_secret_access_key>를 AWS 비밀 액세스 키로 바꾸세요.

발급자를 생성합니다.

Issuer 오브젝트를 정의하는 YAML 파일을 생성합니다.

issuer.yaml 파일 예

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: <letsencrypt_staging>                                        
  namespace: <issuer_namespace>                                   
spec:
  acme:
    server: https://acme-staging-v02.api.letsencrypt.org/directory 
    email: "<email_address>"                                       
    privateKeySecretRef:
      name: <secret_private_key>                                   
    solvers:
    - dns01:
        route53:
          accessKeyID: <aws_key_id>                                
          hostedZoneID: <hosted_zone_id>                           
          region: <region_name>                                    
          secretAccessKeySecretRef:
            name: "aws-secret"                                     
            key: "awsSecretAccessKey"

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: <letsencrypt_staging>

1


  namespace: <issuer_namespace>

2


spec:
  acme:
    server: https://acme-staging-v02.api.letsencrypt.org/directory

3


    email: "<email_address>"

4


    privateKeySecretRef:
      name: <secret_private_key>

5


    solvers:
    - dns01:
        route53:
          accessKeyID: <aws_key_id>

6


          hostedZoneID: <hosted_zone_id>

7


          region: <region_name>

8


          secretAccessKeySecretRef:
            name: "aws-secret"

9


            key: "awsSecretAccessKey"

10

Copy to Clipboard

Toggle word wrap

1: 발급자의 이름을 입력하세요.
2: 발급자에 대해 생성한 네임스페이스를 지정합니다.
3: ACME 서버의 디렉토리 엔드포인트에 액세스하기 위한 URL을 지정합니다. 이 예제에서는 Let's Encrypt 스테이징 환경을 사용합니다.
4: <email_address>를 귀하의 이메일 주소로 바꾸세요.
5: <secret_private_key>를 ACME 계정 개인 키를 저장할 비밀번호의 이름으로 바꾸세요.
6: <aws_key_id>를 AWS 키 ID로 바꾸세요.
7: <hosted_zone_id>를 호스팅된 영역 ID로 바꾸세요.
8: <region_name>을 AWS 지역 이름으로 바꾸세요. 예를 들어, us-east-1 .
9: 생성한 비밀의 이름을 지정하세요.
10: AWS 비밀 액세스 키를 저장하는, 생성한 비밀의 키를 지정합니다.

다음 명령을 실행하여 Issuer 객체를 만듭니다.
```
oc create -f issuer.yaml
```
```
$ oc create -f issuer.yaml
```
Copy to Clipboard Toggle word wrap

9.7.4. AWS에서 주변 자격 증명을 사용하여 ACME 발급자 구성
링크 복사

Red Hat OpenShift용 cert-manager Operator를 사용하면 AWS에서 주변 자격 증명을 사용하여 DNS-01 문제를 해결하도록 ACME 발급자를 설정할 수 있습니다. 이 절차에서는 Let's Encrypt를 ACME CA 서버로 사용하고 Amazon Route 53을 사용하여 DNS-01 문제를 해결하는 방법을 보여줍니다.

사전 요구 사항

클러스터가 AWS 보안 토큰 서비스(STS)를 사용하도록 구성된 경우 AWS 보안 토큰 서비스 클러스터에 대한 Red Hat OpenShift용 cert-manager Operator의 클라우드 자격 증명 구성 섹션의 지침을 따랐습니다.
클러스터가 AWS STS를 사용하지 않는 경우 AWS에서 Red Hat OpenShift용 cert-manager Operator에 대한 클라우드 자격 증명 구성 섹션의 지침을 따랐습니다.

프로세스

선택 사항: DNS-01 자체 검사에 대한 네임서버 설정을 재정의합니다.
이 단계는 대상 퍼블릭 호스팅 영역이 클러스터의 기본 프라이빗 호스팅 영역과 겹치는 경우에만 필요합니다.
1. 다음 명령을 실행하여 CertManager 리소스를 편집합니다.
  $ oc edit certmanager cluster
  Copy to Clipboard Toggle word wrap
2. 다음 재정의 인수를 사용하여 spec.controllerConfig 섹션을 추가합니다.
  apiVersion: operator.openshift.io/v1alpha1 kind: CertManager metadata: name: cluster ... spec: ... controllerConfig:
  1
  overrideArgs: - '--dns01-recursive-nameservers-only'
  2
  - '--dns01-recursive-nameservers=1.1.1.1:53'
  3
  Copy to Clipboard Toggle word wrap
  1
  spec.controllerConfig 섹션을 추가합니다.
  2
  해당 도메인에 연결된 권한 있는 네임서버를 확인하는 대신 재귀적 네임서버만 사용하도록 지정합니다.
  3
  DNS-01 자체 검사를 위해 쿼리할 <호스트>:<포트> 네임서버의 쉼표로 구분된 목록을 제공합니다. 공개 영역과 프라이빗 영역이 겹치지 않도록 1.1.1.1:53 값을 사용해야 합니다.
3. 파일을 저장하여 변경 사항을 적용합니다.
선택 사항: 발급자에 대한 네임스페이스를 만듭니다.
```
oc new-project <issuer_namespace>
```
```
$ oc new-project <issuer_namespace>
```
Copy to Clipboard Toggle word wrap

CertManager 리소스를 수정하여 --issuer-ambient-credentials 인수를 추가합니다.

oc patch certmanager/cluster \
  --type=merge \
  -p='{"spec":{"controllerConfig":{"overrideArgs":["--issuer-ambient-credentials"]}}}'

$ oc patch certmanager/cluster \
  --type=merge \
  -p='{"spec":{"controllerConfig":{"overrideArgs":["--issuer-ambient-credentials"]}}}'

Copy to Clipboard

Toggle word wrap

발급자를 생성합니다.

Issuer 오브젝트를 정의하는 YAML 파일을 생성합니다.

issuer.yaml 파일 예

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: <letsencrypt_staging>                                        
  namespace: <issuer_namespace>                                   
spec:
  acme:
    server: https://acme-staging-v02.api.letsencrypt.org/directory 
    email: "<email_address>"                                       
    privateKeySecretRef:
      name: <secret_private_key>                                   
    solvers:
    - dns01:
        route53:
          hostedZoneID: <hosted_zone_id>                           
          region: us-east-1

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: <letsencrypt_staging>

1


  namespace: <issuer_namespace>

2


spec:
  acme:
    server: https://acme-staging-v02.api.letsencrypt.org/directory

3


    email: "<email_address>"

4


    privateKeySecretRef:
      name: <secret_private_key>

5


    solvers:
    - dns01:
        route53:
          hostedZoneID: <hosted_zone_id>

6


          region: us-east-1

Copy to Clipboard

Toggle word wrap

1: 발급자의 이름을 입력하세요.
2: 발급자에 대해 생성한 네임스페이스를 지정합니다.
3: ACME 서버의 디렉토리 엔드포인트에 액세스하기 위한 URL을 지정합니다. 이 예제에서는 Let's Encrypt 스테이징 환경을 사용합니다.
4: <email_address>를 귀하의 이메일 주소로 바꾸세요.
5: <secret_private_key>를 ACME 계정 개인 키를 저장할 비밀번호의 이름으로 바꾸세요.
6: <hosted_zone_id>를 호스팅된 영역 ID로 바꾸세요.

다음 명령을 실행하여 Issuer 객체를 만듭니다.
```
oc create -f issuer.yaml
```
```
$ oc create -f issuer.yaml
```
Copy to Clipboard Toggle word wrap

9.7.5. GCP Cloud DNS에 대한 명시적 자격 증명을 사용하여 ACME 발급자 구성
링크 복사

Red Hat OpenShift용 cert-manager Operator를 사용하면 GCP에서 명시적 자격 증명을 사용하여 DNS-01 문제를 해결하기 위해 ACME 발급자를 설정할 수 있습니다. 이 절차에서는 Let's Encrypt를 ACME CA 서버로 사용하고 Google CloudDNS로 DNS-01 문제를 해결하는 방법을 보여줍니다.

사전 요구 사항

Google CloudDNS에 대한 원하는 역할로 Google Cloud 서비스 계정을 설정했습니다. 자세한 내용은 업스트림 cert-manager 문서의 Google CloudDNS를 참조하세요.
참고
GCP에서 실행되지 않는 OpenShift Container Platform 클러스터에서 명시적 자격 증명을 사용하여 Google CloudDNS를 사용할 수 있습니다.

프로세스

선택 사항: DNS-01 자체 검사에 대한 네임서버 설정을 재정의합니다.
이 단계는 대상 퍼블릭 호스팅 영역이 클러스터의 기본 프라이빗 호스팅 영역과 겹치는 경우에만 필요합니다.
1. 다음 명령을 실행하여 CertManager 리소스를 편집합니다.
  $ oc edit certmanager cluster
  Copy to Clipboard Toggle word wrap
2. 다음 재정의 인수를 사용하여 spec.controllerConfig 섹션을 추가합니다.
  apiVersion: operator.openshift.io/v1alpha1 kind: CertManager metadata: name: cluster ... spec: ... controllerConfig:
  1
  overrideArgs: - '--dns01-recursive-nameservers-only'
  2
  - '--dns01-recursive-nameservers=1.1.1.1:53'
  3
  Copy to Clipboard Toggle word wrap
  1
  spec.controllerConfig 섹션을 추가합니다.
  2
  해당 도메인에 연결된 권한 있는 네임서버를 확인하는 대신 재귀적 네임서버만 사용하도록 지정합니다.
  3
  DNS-01 자체 검사를 위해 쿼리할 <호스트>:<포트> 네임서버의 쉼표로 구분된 목록을 제공합니다. 공개 영역과 프라이빗 영역이 겹치지 않도록 1.1.1.1:53 값을 사용해야 합니다.
3. 파일을 저장하여 변경 사항을 적용합니다.
선택 사항: 발급자에 대한 네임스페이스를 만듭니다.
```
oc new-project my-issuer-namespace
```
```
$ oc new-project my-issuer-namespace
```
Copy to Clipboard Toggle word wrap

다음 명령을 실행하여 GCP 자격 증명을 저장할 비밀을 만듭니다.

oc create secret generic clouddns-dns01-solver-svc-acct --from-file=service_account.json=<path/to/gcp_service_account.json> -n my-issuer-namespace

$ oc create secret generic clouddns-dns01-solver-svc-acct --from-file=service_account.json=<path/to/gcp_service_account.json> -n my-issuer-namespace

Copy to Clipboard

Toggle word wrap

발급자를 생성합니다.

Issuer 오브젝트를 정의하는 YAML 파일을 생성합니다.

issuer.yaml 파일 예

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: <acme_dns01_clouddns_issuer> 
  namespace: <issuer_namespace> 
spec:
  acme:
    preferredChain: ""
    privateKeySecretRef:
      name: <secret_private_key> 
    server: https://acme-staging-v02.api.letsencrypt.org/directory 
    solvers:
    - dns01:
        cloudDNS:
          project: <project_id> 
          serviceAccountSecretRef:
            name: clouddns-dns01-solver-svc-acct 
            key: service_account.json

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: <acme_dns01_clouddns_issuer>

1


  namespace: <issuer_namespace>

2


spec:
  acme:
    preferredChain: ""
    privateKeySecretRef:
      name: <secret_private_key>

3


    server: https://acme-staging-v02.api.letsencrypt.org/directory

4


    solvers:
    - dns01:
        cloudDNS:
          project: <project_id>

5


          serviceAccountSecretRef:
            name: clouddns-dns01-solver-svc-acct

6


            key: service_account.json

7

Copy to Clipboard

Toggle word wrap

1: 발급자의 이름을 입력하세요.
2: <issuer_namespace>를 발급자 네임스페이스로 바꾸세요.
3: <secret_private_key>를 ACME 계정 개인 키를 저장할 비밀번호의 이름으로 바꾸세요.
4: ACME 서버의 디렉토리 엔드포인트에 액세스하기 위한 URL을 지정합니다. 이 예제에서는 Let's Encrypt 스테이징 환경을 사용합니다.
5: <project_id>를 Cloud DNS 영역이 포함된 GCP 프로젝트의 이름으로 바꿉니다.
6: 생성한 비밀의 이름을 지정하세요.
7: GCP 비밀 액세스 키를 저장하는 데 사용한 비밀의 키를 지정합니다.

다음 명령을 실행하여 Issuer 객체를 만듭니다.
```
oc create -f issuer.yaml
```
```
$ oc create -f issuer.yaml
```
Copy to Clipboard Toggle word wrap

9.7.6. GCP에서 주변 자격 증명을 사용하여 ACME 발급자 구성
링크 복사

Red Hat OpenShift용 cert-manager Operator를 사용하면 GCP에서 주변 자격 증명을 사용하여 DNS-01 문제를 해결하기 위해 ACME 발급자를 설정할 수 있습니다. 이 절차에서는 Let's Encrypt를 ACME CA 서버로 사용하고 Google CloudDNS로 DNS-01 문제를 해결하는 방법을 보여줍니다.

사전 요구 사항

클러스터가 GCP 워크로드 ID를 사용하도록 구성된 경우 GCP 워크로드 ID를 사용하여 Red Hat OpenShift용 cert-manager Operator에 대한 클라우드 자격 증명 구성 섹션의 지침을 따랐습니다.
클러스터가 GCP 워크로드 ID를 사용하지 않는 경우 GCP에서 Red Hat OpenShift용 cert-manager Operator에 대한 클라우드 자격 증명 구성 섹션의 지침을 따랐습니다.

프로세스

선택 사항: DNS-01 자체 검사에 대한 네임서버 설정을 재정의합니다.
이 단계는 대상 퍼블릭 호스팅 영역이 클러스터의 기본 프라이빗 호스팅 영역과 겹치는 경우에만 필요합니다.
1. 다음 명령을 실행하여 CertManager 리소스를 편집합니다.
  $ oc edit certmanager cluster
  Copy to Clipboard Toggle word wrap
2. 다음 재정의 인수를 사용하여 spec.controllerConfig 섹션을 추가합니다.
  apiVersion: operator.openshift.io/v1alpha1 kind: CertManager metadata: name: cluster ... spec: ... controllerConfig:
  1
  overrideArgs: - '--dns01-recursive-nameservers-only'
  2
  - '--dns01-recursive-nameservers=1.1.1.1:53'
  3
  Copy to Clipboard Toggle word wrap
  1
  spec.controllerConfig 섹션을 추가합니다.
  2
  해당 도메인에 연결된 권한 있는 네임서버를 확인하는 대신 재귀적 네임서버만 사용하도록 지정합니다.
  3
  DNS-01 자체 검사를 위해 쿼리할 <호스트>:<포트> 네임서버의 쉼표로 구분된 목록을 제공합니다. 공개 영역과 프라이빗 영역이 겹치지 않도록 1.1.1.1:53 값을 사용해야 합니다.
3. 파일을 저장하여 변경 사항을 적용합니다.
선택 사항: 발급자에 대한 네임스페이스를 만듭니다.
```
oc new-project <issuer_namespace>
```
```
$ oc new-project <issuer_namespace>
```
Copy to Clipboard Toggle word wrap

CertManager 리소스를 수정하여 --issuer-ambient-credentials 인수를 추가합니다.

oc patch certmanager/cluster \
  --type=merge \
  -p='{"spec":{"controllerConfig":{"overrideArgs":["--issuer-ambient-credentials"]}}}'

$ oc patch certmanager/cluster \
  --type=merge \
  -p='{"spec":{"controllerConfig":{"overrideArgs":["--issuer-ambient-credentials"]}}}'

Copy to Clipboard

Toggle word wrap

발급자를 생성합니다.

Issuer 오브젝트를 정의하는 YAML 파일을 생성합니다.

issuer.yaml 파일 예

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: <acme_dns01_clouddns_issuer> 
  namespace: <issuer_namespace>
spec:
  acme:
    preferredChain: ""
    privateKeySecretRef:
      name: <secret_private_key> 
    server: https://acme-staging-v02.api.letsencrypt.org/directory 
    solvers:
    - dns01:
        cloudDNS:
          project: <gcp_project_id>

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: <acme_dns01_clouddns_issuer>

1


  namespace: <issuer_namespace>
spec:
  acme:
    preferredChain: ""
    privateKeySecretRef:
      name: <secret_private_key>

2


    server: https://acme-staging-v02.api.letsencrypt.org/directory

3


    solvers:
    - dns01:
        cloudDNS:
          project: <gcp_project_id>

4

Copy to Clipboard

Toggle word wrap

1: 발급자의 이름을 입력하세요.
2: <secret_private_key>를 ACME 계정 개인 키를 저장할 비밀번호의 이름으로 바꾸세요.
3: ACME 서버의 디렉토리 엔드포인트에 액세스하기 위한 URL을 지정합니다. 이 예제에서는 Let's Encrypt 스테이징 환경을 사용합니다.
4: <gcp_project_id>를 Cloud DNS 영역이 포함된 GCP 프로젝트의 이름으로 바꿉니다.

다음 명령을 실행하여 Issuer 객체를 만듭니다.
```
oc create -f issuer.yaml
```
```
$ oc create -f issuer.yaml
```
Copy to Clipboard Toggle word wrap

9.7.7. Microsoft Azure DNS에 대한 명시적 자격 증명을 사용하여 ACME 발급자 구성
링크 복사

Red Hat OpenShift용 cert-manager Operator를 사용하면 Microsoft Azure에서 명시적 자격 증명을 사용하여 DNS-01 문제를 해결하기 위해 ACME 발급자를 설정할 수 있습니다. 이 절차에서는 Let's Encrypt를 ACME CA 서버로 사용하고 Azure DNS로 DNS-01 문제를 해결하는 방법을 보여줍니다.

사전 요구 사항

Azure DNS에 대한 원하는 역할을 가진 서비스 주체를 설정했습니다. 자세한 내용은 업스트림 cert-manager 설명서의 Azure DNS를 참조하세요.
참고
Microsoft Azure에서 실행되지 않는 OpenShift Container Platform 클러스터에 대해 이 절차를 따를 수 있습니다.

프로세스

선택 사항: DNS-01 자체 검사에 대한 네임서버 설정을 재정의합니다.
이 단계는 대상 퍼블릭 호스팅 영역이 클러스터의 기본 프라이빗 호스팅 영역과 겹치는 경우에만 필요합니다.
1. 다음 명령을 실행하여 CertManager 리소스를 편집합니다.
  $ oc edit certmanager cluster
  Copy to Clipboard Toggle word wrap
2. 다음 재정의 인수를 사용하여 spec.controllerConfig 섹션을 추가합니다.
  apiVersion: operator.openshift.io/v1alpha1 kind: CertManager metadata: name: cluster ... spec: ... controllerConfig:
  1
  overrideArgs: - '--dns01-recursive-nameservers-only'
  2
  - '--dns01-recursive-nameservers=1.1.1.1:53'
  3
  Copy to Clipboard Toggle word wrap
  1
  spec.controllerConfig 섹션을 추가합니다.
  2
  해당 도메인에 연결된 권한 있는 네임서버를 확인하는 대신 재귀적 네임서버만 사용하도록 지정합니다.
  3
  DNS-01 자체 검사를 위해 쿼리할 <호스트>:<포트> 네임서버의 쉼표로 구분된 목록을 제공합니다. 공개 영역과 프라이빗 영역이 겹치지 않도록 1.1.1.1:53 값을 사용해야 합니다.
3. 파일을 저장하여 변경 사항을 적용합니다.
선택 사항: 발급자에 대한 네임스페이스를 만듭니다.
```
oc new-project my-issuer-namespace
```
```
$ oc new-project my-issuer-namespace
```
Copy to Clipboard Toggle word wrap
다음 명령을 실행하여 Azure 자격 증명을 저장할 비밀을 만듭니다.
```
oc create secret generic <secret_name> --from-literal=<azure_secret_access_key_name>=<azure_secret_access_key_value> \
    -n my-issuer-namespace
```
```
$ oc create secret generic <secret_name> --from-literal=<azure_secret_access_key_name>=<azure_secret_access_key_value> \ 
```
1
```
 
```
2
```
 
```
3
```
    -n my-issuer-namespace
```
Copy to Clipboard Toggle word wrap
1
<secret_name>을 사용자의 비밀번호 이름으로 바꾸세요.
2
<azure_secret_access_key_name>을 Azure 비밀 액세스 키 이름으로 바꾸세요.
3
<azure_secret_access_key_value>를 Azure 비밀 키로 바꾸세요.

발급자를 생성합니다.

Issuer 오브젝트를 정의하는 YAML 파일을 생성합니다.

issuer.yaml 파일 예

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: <acme-dns01-azuredns-issuer>   
  namespace: <issuer_namespace>   
spec:
  acme:
    preferredChain: ""
    privateKeySecretRef:
      name: <secret_private_key> 
    server: https://acme-staging-v02.api.letsencrypt.org/directory 
    solvers:
    - dns01:
        azureDNS:
          clientID: <azure_client_id> 
          clientSecretSecretRef:
            name: <secret_name> 
            key: <azure_secret_access_key_name> 
          subscriptionID: <azure_subscription_id> 
          tenantID: <azure_tenant_id> 
          resourceGroupName: <azure_dns_zone_resource_group> 
          hostedZoneName: <azure_dns_zone> 
          environment: AzurePublicCloud

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: <acme-dns01-azuredns-issuer>

1


  namespace: <issuer_namespace>

2


spec:
  acme:
    preferredChain: ""
    privateKeySecretRef:
      name: <secret_private_key>

3


    server: https://acme-staging-v02.api.letsencrypt.org/directory

4


    solvers:
    - dns01:
        azureDNS:
          clientID: <azure_client_id>

5


          clientSecretSecretRef:
            name: <secret_name>

6


            key: <azure_secret_access_key_name>

7


          subscriptionID: <azure_subscription_id>

8


          tenantID: <azure_tenant_id>

9


          resourceGroupName: <azure_dns_zone_resource_group>

10


          hostedZoneName: <azure_dns_zone>

11


          environment: AzurePublicCloud

Copy to Clipboard

Toggle word wrap

1: 발급자의 이름을 입력하세요.
2: <issuer_namespace>를 발급자 네임스페이스로 바꾸세요.
3: <secret_private_key>를 ACME 계정 개인 키를 저장할 비밀번호의 이름으로 바꾸세요.
4: ACME 서버의 디렉토리 엔드포인트에 액세스하기 위한 URL을 지정합니다. 이 예제에서는 Let's Encrypt 스테이징 환경을 사용합니다.
5: <azure_client_id>를 Azure 클라이언트 ID로 바꾸세요.
6: <secret_name>을 클라이언트 비밀번호의 이름으로 바꾸세요.
7: <azure_secret_access_key_name>을 클라이언트 비밀 키 이름으로 바꿉니다.
8: <azure_subscription_id>를 Azure 구독 ID로 바꾸세요.
9: <azure_tenant_id>를 Azure 테넌트 ID로 바꾸세요.
10: <azure_dns_zone_resource_group>을 Azure DNS 영역 리소스 그룹의 이름으로 바꿉니다.
11: <azure_dns_zone>을 Azure DNS 영역의 이름으로 바꿉니다.

다음 명령을 실행하여 Issuer 객체를 만듭니다.
```
oc create -f issuer.yaml
```
```
$ oc create -f issuer.yaml
```
Copy to Clipboard Toggle word wrap

9.7.1. ACME 발행자 정보
링크 복사

9.7.1.1. 지원되는 ACME 챌린지 유형
링크 복사

9.7.1.2. 지원되는 DNS-01 공급자
링크 복사

9.7.2. HTTP-01 문제를 해결하기 위한 ACME 발급자 구성
링크 복사

9.7.3. AWS Route53에 대한 명시적 자격 증명을 사용하여 ACME 발급자 구성
링크 복사

9.7.4. AWS에서 주변 자격 증명을 사용하여 ACME 발급자 구성
링크 복사

9.7.5. GCP Cloud DNS에 대한 명시적 자격 증명을 사용하여 ACME 발급자 구성
링크 복사

9.7.6. GCP에서 주변 자격 증명을 사용하여 ACME 발급자 구성
링크 복사

9.7.7. Microsoft Azure DNS에 대한 명시적 자격 증명을 사용하여 ACME 발급자 구성
링크 복사

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

9.7. ACME 발급자 구성

9.7.1. ACME 발행자 정보링크 복사링크가 클립보드에 복사되었습니다!

9.7.1.1. 지원되는 ACME 챌린지 유형링크 복사링크가 클립보드에 복사되었습니다!

9.7.1.2. 지원되는 DNS-01 공급자링크 복사링크가 클립보드에 복사되었습니다!

9.7.2. HTTP-01 문제를 해결하기 위한 ACME 발급자 구성링크 복사링크가 클립보드에 복사되었습니다!

9.7.3. AWS Route53에 대한 명시적 자격 증명을 사용하여 ACME 발급자 구성링크 복사링크가 클립보드에 복사되었습니다!

9.7.4. AWS에서 주변 자격 증명을 사용하여 ACME 발급자 구성링크 복사링크가 클립보드에 복사되었습니다!

9.7.5. GCP Cloud DNS에 대한 명시적 자격 증명을 사용하여 ACME 발급자 구성링크 복사링크가 클립보드에 복사되었습니다!

9.7.6. GCP에서 주변 자격 증명을 사용하여 ACME 발급자 구성링크 복사링크가 클립보드에 복사되었습니다!

9.7.7. Microsoft Azure DNS에 대한 명시적 자격 증명을 사용하여 ACME 발급자 구성링크 복사링크가 클립보드에 복사되었습니다!

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

9.7.1. ACME 발행자 정보
링크 복사

9.7.1.1. 지원되는 ACME 챌린지 유형
링크 복사

9.7.1.2. 지원되는 DNS-01 공급자
링크 복사

9.7.2. HTTP-01 문제를 해결하기 위한 ACME 발급자 구성
링크 복사

9.7.3. AWS Route53에 대한 명시적 자격 증명을 사용하여 ACME 발급자 구성
링크 복사

9.7.4. AWS에서 주변 자격 증명을 사용하여 ACME 발급자 구성
링크 복사

9.7.5. GCP Cloud DNS에 대한 명시적 자격 증명을 사용하여 ACME 발급자 구성
링크 복사

9.7.6. GCP에서 주변 자격 증명을 사용하여 ACME 발급자 구성
링크 복사

9.7.7. Microsoft Azure DNS에 대한 명시적 자격 증명을 사용하여 ACME 발급자 구성
링크 복사