Este documento ha sido traducido utilizando tecnología de traducción automática. Si bien nos esforzamos por proporcionar traducciones precisas, no ofrecemos garantías sobre la integridad, precisión o confiabilidad del contenido traducido. En caso de discrepancia, la versión original en inglés prevalecerá y constituirá el texto autorizado.

Añadiendo secretos TLS

Kubernetes creará todos los objetos y servicios para Rancher, pero no estará disponible hasta que rellenemos el secreto tls-rancher-ingress en el espacio de nombres cattle-system con el certificado y la clave.

Combina el certificado del servidor seguido de cualquier certificado intermedio necesario en un archivo llamado tls.crt. Copia tu clave de certificado en un archivo llamado tls.key.

Por ejemplo, acme.sh proporciona el certificado del servidor y las cadenas CA en el archivo fullchain.cer. Este fullchain.cer debe ser renombrado a tls.crt y el archivo de clave de certificado como tls.key.

Usa kubectl con el tipo de secreto tls para crear los secretos.

kubectl -n cattle-system create secret tls tls-rancher-ingress \
  --cert=tls.crt \
  --key=tls.key

Si deseas reemplazar el certificado, puedes eliminar el secreto tls-rancher-ingress usando kubectl -n cattle-system delete secret tls-rancher-ingress y añadir uno nuevo utilizando el comando mostrado arriba. Si estás utilizando un certificado firmado por una CA privada, reemplazar el certificado solo es posible si el nuevo certificado está firmado por la misma CA que el certificado actualmente en uso.

Uso de un Certificado Firmado por una CA Privada

Si estás utilizando una CA privada, Rancher requiere una copia del certificado raíz de la CA o de la cadena de certificados, que el Agente de Rancher utiliza para validar la conexión al servidor.

Crea un archivo llamado cacerts.pem que contenga únicamente el certificado raíz de la CA o la cadena de certificados de tu CA privada, y usa kubectl para crear el secreto tls-ca en el espacio de nombres cattle-system.

kubectl -n cattle-system create secret generic tls-ca \
  --from-file=cacerts.pem

El secreto tls-ca configurado se recupera cuando Rancher se inicia. En una instalación de Rancher en funcionamiento, la CA actualizada tendrá efecto después de que se inicien nuevos pods de Rancher.

La cadena de certificados debe estar correctamente formateada, o los componentes pueden fallar al descargar recursos del servidor Rancher.

Añadiendo Certificados CA Adicionales

Si estás utilizando un controlador de nodo que realiza solicitudes API con una CA diferente a la configurada para Rancher, puedes añadir certificados raíz adicionales y cadenas de certificados.

Crea un archivo único que termine en .pem para cada certificado que se requiera, y utiliza kubectl para crear el secreto tls-additional en el espacio de nombres cattle-system.

kubectl -n cattle-system create secret generic tls-additional \
  --from-file=cacerts1.pem=cacerts1.pem --from-file=cacerts2.pem=cacerts2.pem

Rancher monta estos certificados raíz CA y cadenas de certificados en el pod del controlador de nodo durante la provisión.

Actualizando un Certificado de CA Privada

Sigue los pasos en esta página para actualizar el certificado SSL del ingreso en una instalación de Kubernetes de alta disponibilidad o para cambiar del certificado autofirmado por defecto a un certificado personalizado.