更新华为CCE域名证书方法

目录

一、背景

二、创建CCE证书

三、替换证书

四、更新完成的结果

五、确认负载均衡证书同步

六、确认证书已更新成功

---

一、背景

         华为云CCE集群（k8s）有多个域名，域名（泛域名）都使用同一个SSL证书，并且还使用到了华为云ELB负载均衡的https协议，即在华为云负载均衡也配置了相同的SSL证书。

        需要注意的是CCE的SSL证书会自动同步ELB负载均衡SSL证书，保持负载均衡ELB的证书和CCE的证书保持一致。

        若是仅仅更换负载均衡ELB的SSL证书，那么不会生效。假如证书即将到期，你更新负载均衡ELB的SSL证书，但是忘记了更新CCE的SSL证书，那么域名会提示不安全，毕竟新的SSL证书没有生效，而此时仍然使用的是旧的过期SSL证书，所以会提示域名不安全。

        最简单的做法是，只需要更新CCE的SSL证书即可。

二、创建CCE证书

         登录华为云CCE，添加secret，选择的类型是 IngressTLS，即用来保存SSL证书，在kubernetes，ssl保存在secret中，ingress通过引用secret来实现关联ssl。最后将ingres的secret名字替换成新添加的密钥secret 密钥名称，这种方法比较保守，若是过程中密钥信息有误，可以通过恢复ingress旧的密钥名称，来实现使用旧SSL证书。

        直接修改旧的secret证书信息，只需要选中在使用的密钥名称，点击更新，然后上传SSL证书的证书文件crt和key文件就完成了CCE证书更新。

 

三、替换证书

        打开CCE网络管理，选中ingress 以及指定集群和服务的命名空间，就可以看到相关的ingress配置的域名了。我的环境是泛域名，全部域名使用同一个证书，所以我的服务证书名字是相同的，所以需要依次更新各个ingress的服务正式，我实际的操作是通过命令行修改的。

        命令行使用简单说明，该命名空间的所有ingress的域名都是使用相同的SSL证书，则更便捷的方法是，登录安装有kubectl工具，并且可以正常访问和操作该CCE（k8s）集群的服务器，通过kubectl edit  ingress 结合sed 等shell命令批量更新ingress的ssl证书名字，这里我就不演示了。

        在ingress中，服务证书名字相同的，说明使用使用https协议并且使用的证书是一样的，服务证书名字为空的，说明该域名是使用的是http协议不要使用ssl证书。

        选择对应的域名，点击更新操作，可以看到如下图信息：

四、更新完成的结果

        我的CCE环境由于是泛域名，所有域名都使用一样的SSL证书，所有服务器证书名字是一样的，更新完成后要再次确认服务器证书(SSL)名字是一样的，若是不同的域名使用不同的证书，则不同域名的ingress需要壹壹对应各自的证书名字。

五、确认负载均衡证书同步

        登录华为云负载均衡ELB查看对应域名的证书信息，可以发现更新时间发生了变化，和更新CCE证书时间基本是保持一致的。说明华为云https协议的负载均衡ELB会自动同步CCE的证书，并且以CCE证书为基准，保持负载均衡ELB的证书和CCE证书一致。

六、确认证书已更新成功

        更新完成CCE域名相关的证书后，最简单的验证SSL证书是否更新成功的方法就是，直接通过PC访问域名查看证书信息以及证书过期时间。

        在浏览地址栏输入域名访问，点击浏览器地址栏的锁图案(安全连接)查看域名证书信息。能正常通过域名访问，并且对应的域名有效期已成功改变为对应证书的有效时间，说明证书更新成功。

操作步骤：

        安全连接 --> 更多信息 --> 查看证书