概要描述

当前TDC全站默认使用https协议对外提供服务，但对外提供的证书是自签证书，浏览器默认会拦截请求，并发出安全警告。在某些客户现场，客户可以提供CA机构颁发的证书，这些证书能够通过浏览器的安全认证。

本文描述如何做TDC https 证书的替换

详细描述

申请方式

如果客户能够提供域名，TDC支持将证书绑定到域名，然后将域名代理到TDC三台master节点；如果客户没有提供域名，那么需要直接申请证书到三台master节点的ip上。可以通过下述方式确认master节点

kubectl get nodes --show-labels | grep master=true

确认原本使用的secret信息

这边客户需要提供nginx格式的证书 即pem 以及key为结尾的证书

查看确认当前的ingress controller使用的证书

 kubectl edit deployment ingress-nginx-ingress-controller -n kube-system -oyaml

查看关键字–default-ssl-certificate 的值

发现引用的是kube-system这个namesapce下的ingress-tls-new 这个secret

在master节点上创建新的secret

所以为了避免冲突，我们要另外创建一个secret （secret名字不可以以数字结尾）其中-cert 后面加公钥 –key后面加私钥

kubectl -n kube-system create secret tls ingress-tls-neww --cert=chambroad.com-1.crt --key=chambroad.com.key

如果客户没有提供crt结尾的，需要转换一下

openssl x509 -in chambroad.com-1.pem  -out chambroad.com-1.crt

修改ingress controller使用新的secret

kubectl -n kube-system edit deploy ingress-nginx-ingress-controller