2020-06-23 rancher 自签名ca证书问题

1、生成自签名ca证书(rancher官方)

生成自签名ssl证书

https://rancher2.docs.rancher.cn/docs/installation/options/self-signed-ssl/_index

生成的内容有

2、将证书导入rancher

菜单: 资源=》密文=》证书列表

将生成的 tls.key(或gitlab.cost.tcl.com.key，两者一致)内容复制粘贴到“私钥”处，

将tls.crt(或gitlab.cost.tcl.com.crt)和cacerts.pem内容复制粘贴到“证书* 包括全部所需的证书链”处

3、解决客户端不信任证书问题,以gitlab-service为例(

sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

2020/6/23 下午3:49:49  at org.springframework.web.servlet.FrameworkServlet.processRequest(FrameworkServlet.java:1013) ~[spring-webmvc-5.1.8.RELEASE.jar!/:5.1.8.RELEASE]

)

1）创建一个用于存放证书的pvc

2）对相应服务升级，在数据卷内挂载该pvc，容器路径填写/home

3）打开容器命令行，在/home目录下存放生成的ca文件

4）使用命令将cacerts.pem文件导入 cacerts，之后将cacerts（）

keytool -import -alias 证书别名 -file 证书名称 -keystore cacerts -trustcacerts

如果提示已存在，则先将证书删除，之后再重新导入即可；

keytool -delete -alias 证书别名 -keystore cacerts 

查看证书列表keytool -list -keystore cacerts 

java秘钥口令默认为 changeit，不需要重新设置秘钥口令；

之后会提示 是否信任该证书：Y：是    N：否，输入 Y 即可

https://www.itranslater.com/qa/details/2131860330933388288

4、解决gitlab-runner自签名证书问题

https://docs.gitlab.com/runner/configuration/tls-self-signed.html