HTTPS 证书自动签发

Rainbond 目前支持服务端证书管理,用于支持配置 HTTPS 访问策略。

基于 LEGO 实现了证书的自动签发,目前支持阿里云 DNS 解析。

功能

  • 自动申请证书
  • 到期自动续期
  • 钉钉/Slack通知申请状态

前提条件

域名是通过阿里云购买的,且域名解析是通过阿里云 DNS 解析的。

自动签发证书的安装与配置

配置自动签发证书

进入 企业视图 -> 设置 -> 自动签发证书,填写以下内容:

  1. {
  2. "aliyun_test":{
  3. "provider":"alidns",
  4. "env":{
  5. "ALICLOUD_POLLING_INTERVAL":"2",
  6. "ALICLOUD_SECRET_KEY":"ali sk",
  7. "ALICLOUD_PROPAGATION_TIMEOUT":"300",
  8. "ALICLOUD_ACCESS_KEY":"ali ak"
  9. }
  10. }
  11. }

安装自动签发证书控制器

平台管理 -> 应用市场 -> 开源应用商店 中搜索 rainbond-cert-controller 并安装。

安装后进入到 rainbond-cert-controller 组件内,修改以下环境变量:

变量名说明默认值必须
RAINBOND_OPENAPI_URLRainbond 控制台访问地址,例如:http://192.168.1.11:7070
RAINBOND_API_KEY访问令牌,在个人中心 -> 访问令牌 中获取
ACME_EMAIL邮箱地址可选
ACME_KEY_TYPEACME key 类型RSA4096可选
ACME_DIR_URLACME api 地址https://acme-v02.api.letsencrypt.org/directory可选
ACME_SRORAGE_PATH用于存放认证信息/opt/rainbond-cert-controller/storage可选
NOTIFY_TYPE消息通知类型,dingtalk/slackdingtalk可选
DINGTALK_AK钉钉机器人的 access_token可选
DINGTALK_SK添加钉钉机器人时,勾选安全设置的加签可选
NOTIFY_URLSlack URL 地址可选
NOTIFY_CHANNELSlack 通道可选

使用自动签发证书

进入到 团队 -> 应用内 -> 网关,编辑域名路由规则:

  • HTTPs证书:选择自动签发证书
  • 认证配置:选择自定义的配置

等待几分钟后,Rainbond 网关会自动添加上证书。