Почему не получается выдать сертификаты cert manager?

Question

Захар Буров @TheDigitalMadness

Программист

Почему не получается выдать сертификаты cert manager?

Уже весь день пытаюсь выдать сертификаты. У меня домен на рег.ру , все записи настроены на внешний адрес кластера, который выдал мне metallb.

Я установил cert-manager через helm . Устанавливал командами:

root@tourshop:~# helm repo add jetstack https://charts.jetstack.io
helm repo update

root@tourshop:~# kubectl create namespace cert-manager

root@tourshop:~# helm install cert-manager jetstack/cert-manager \
  --namespace cert-manager \
  --version v1.14.4 \
  --set installCRDs=true

Далее применяю cluster-issuer.yaml

apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: letsencrypt-prod
spec:
  acme:
    server: https://acme-staging-v02.api.letsencrypt.org/directory
    email: тутМояПочта
    privateKeySecretRef:
      name: letsencrypt-prod
    solvers:
    - http01:
        ingress:
          class: nginx

Затем для получения сертификатов я сделал ingress (в кластере установлен ingress-nginx):

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: tourshop-ingress
  annotations:
    cert-manager.io/cluster-issuer: "letsencrypt-prod"
spec:
  ingressClassName: nginx
  rules:
  - host: tourshop.online
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: tourshop-service
            port:
              number: 80
  tls:
  - hosts:
    - tourshop.online
    secretName: tourshop-online-tls

и под для него:

apiVersion: apps/v1
kind: Deployment
metadata:
  name: tourshop-test
  labels:
    app: tourshop-test
spec:
  replicas: 2
  selector:
    matchLabels:
      app: tourshop-test
  template:
    metadata:
      labels:
        app: tourshop-test
    spec:
      containers:
      - name: nginx
        image: nginx:alpine
        ports:
        - containerPort: 80
---
apiVersion: v1
kind: Service
metadata:
  name: tourshop-service
spec:
  selector:
    app: tourshop-test
  ports:
    - protocol: TCP
      port: 80
      targetPort: 80

Применяю под, затем ингресс.

Начинается процесс получения сертификатов. Тут я себе выделил 3 консольки для мониторинга:
1)

root@tourshop:~# watch -n 2 "echo '=== CERTIFICATE ===' && kubectl get certificate && echo '=== ORDER ===' && kubectl get order && echo '=== CHALLENGE ===' && kubectl get challenge"

2)
root@tourshop:~# watch -n 2 "kubectl get ingress"
3)

root@tourshop:~# kubectl logs -n ingress-nginx deployment/ingress-nginx-controller --tail=50

Вот что происходит сначала:
1)

Every 2.0s: echo '=== CERTIFICATE ===' && kubectl...  tourshop.control-plane: Thu Nov  6 18:53:50 2025

=== CERTIFICATE ===
NAME                  READY   SECRET                AGE
tourshop-online-tls   False   tourshop-online-tls   13s
=== ORDER ===
NAME                             STATE     AGE
tourshop-online-tls-1-69669887   pending   13s
=== CHALLENGE ===
NAME                                        STATE     DOMAIN            AGE
tourshop-online-tls-1-69669887-1230061389   pending   tourshop.online   11s

2)

Every 2.0s: kubectl get ingress                      tourshop.control-plane: Thu Nov  6 18:54:04 2025

NAME                        CLASS    HOSTS             ADDRESS          PORTS     AGE
cm-acme-http-solver-xzxw9   <none>   tourshop.online                    80        25s
tourshop-ingress            nginx    tourshop.online   141.105.71.240   80, 443   27s

потихонечку ingress-ы ждут айпи адреса

Затем:
2)

Every 2.0s: kubectl get ingress                      tourshop.control-plane: Thu Nov  6 18:54:43 2025

NAME                        CLASS    HOSTS             ADDRESS          PORTS     AGE
cm-acme-http-solver-xzxw9   <none>   tourshop.online   141.105.71.240   80        64s
tourshop-ingress            nginx    tourshop.online   141.105.71.240   80, 443   66s

получили адреса.

Затем в какой-то момент:
1) переходят в invalid

Every 2.0s: echo '=== CERTIFICATE ===' && kubectl...  tourshop.control-plane: Thu Nov  6 19:00:31 2025

=== CERTIFICATE ===
NAME                  READY   SECRET                AGE
tourshop-online-tls   False   tourshop-online-tls   6m54s
=== ORDER ===
NAME                             STATE     AGE
tourshop-online-tls-1-69669887   invalid   6m54s
=== CHALLENGE ===
NAME                                        STATE     DOMAIN            AGE
tourshop-online-tls-1-69669887-1230061389   invalid   tourshop.online   6m52s

2) Солвер помирает

Every 2.0s: kubectl get ingress                      tourshop.control-plane: Thu Nov  6 19:01:07 2025

NAME               CLASS   HOSTS             ADDRESS          PORTS     AGE
tourshop-ingress   nginx   tourshop.online   141.105.71.240   80, 443   7m30s

Вот полный лог ingress-controller с момента запуска:
3)
https://drive.google.com/file/d/1BtLUEnw9YORsZS1R-...

Я не понимаю, почему у меня не получается выдать сейчас сертификаты: раньше с такой проблемой не сталкивался, везде нормально выдавало. Я буду очень благодарен любому содействию. Весь день читаю от советов нейросетки до n-ой страницы в браузере - не понимаю. Если понадобятся еще какие-то данные - напишите, я скину

Вопрос задан 9 часов назад
31 просмотр

3 комментария

Подписаться 1 Средний 3 комментария

historydev @historydev

Я в этом не разбираюсь, могу лишь указать на способ достижения цели:

Если раньше работало: вычти из текущего то, что было раньше и получишь разницу в которой спряталась проблема.
Например: версию kubernetes, провайдера домена, регион хоста и т.д, и т.п.

Учти человеческий фактор, может ты что-то забыл.

Написано 9 часов назад
Захар Буров @TheDigitalMadness Автор вопроса

historydev, к сожалению, не сохранилось подробно ни одного скрипта - только порядок действий. И порядок действий сходится с тем, что в доке, в интернет и нейронка советует - к нему вроде бы вопросов нет. Разные версии тоже пробовал

Написано 8 часов назад
AUser0 @AUser0
Ну, судя по всему, Let'sEncrypt должен проверить владение доменом, он это делает через HTTP-запрос к вашему серверу, за файлом вида
http://tourshop.online/.well-known/acme-challenge/AAABBBCCC........ZZZ
(имя файла и его содержимое - случайные наборы символов, определяемое сервером Let'sEncrypt). И если файл существует, и Let'sEncrypt его получает, и в нём то содержимое, которое ожидает Let'sEncrypt - то CHALLENGE успешен, SSL-сертификат выдаётся. Копайте в эту сторону, например в логах NGINX должно быть успешное обращение к файлу в директории /.well-known/acme-challenge/...
Написано час назад

Помогут разобраться в теме Все курсы

Нетология

Python-разработчик с нуля

6 месяцев

Далее
Skillfactory

DevOps-инженер

6 месяцев

Далее
SF Education

Бэкенд-разработчик на Python

3 месяца

Далее

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Linux

+1 ещё

Средний
Minikube/Kubernetes: как устранить ошибку при установке ingress аддона (webhook)?
- 3 подписчика
- 27 окт.
- 136 просмотров
0

ответов
Цифровые сертификаты

+2 ещё

Простой
Как создать запрос на выпуск сертификата с шифрованием ГОСТ для Минцифры?
- 2 подписчика
- 19 окт.
- 186 просмотров
1

ответ
Цифровые сертификаты

+2 ещё

Средний
Почему не выдается сертификат в mailcow?
- 1 подписчик
- 06 окт.
- 111 просмотров
2

ответа
Nginx

+1 ещё

Простой
Использование двух ssl на одном домене?
- 4 подписчика
- 25 сент.
- 520 просмотров
2

ответа
Цифровые сертификаты

Простой
Как разблокировать домен с ssl, который не работает после блокировки?
- 2 подписчика
- 15 сент.
- 335 просмотров
1

ответ
Цифровые сертификаты

+1 ещё

Средний
Сайт открывается по https только со второго раза?
- 1 подписчик
- 13 сент.
- 242 просмотра
1

ответ
Docker

+1 ещё

Простой
Docker ssl frontend backend?
- 1 подписчик
- 02 сент.
- 209 просмотров
2

ответа
Kubernetes

Средний
Мастер нода выпала из подсети?
- 2 подписчика
- 02 сент.
- 432 просмотра
1

ответ
Цифровые сертификаты

Простой
Загрузка файлов блокируется браузером, почему?
- 1 подписчик
- 25 авг.
- 235 просмотров
3

ответа
Показать ещё Загружается…

Frontend Developer/ Vue.js

DevTeam.Space • Москва

от 1 000 до 3 000 $

SRE/DevOps инженер

Сбер • Москва

от 200 000 до 300 000 ₽

Linux администратор HPC стека

Сбер • Москва

от 200 000 до 400 000 ₽

Я в этом не разбираюсь, могу лишь указать на способ достижения цели:

Если раньше работало: вычти из текущего то, что было раньше и получишь разницу в которой спряталась проблема.
Например: версию kubernetes, провайдера домена, регион хоста и т.д, и т.п.

Учти человеческий фактор, может ты что-то забыл.
historydev, к сожалению, не сохранилось подробно ни одного скрипта - только порядок действий. И порядок действий сходится с тем, что в доке, в интернет и нейронка советует - к нему вроде бы вопросов нет. Разные версии тоже пробовал
Ну, судя по всему, Let'sEncrypt должен проверить владение доменом, он это делает через HTTP-запрос к вашему серверу, за файлом вида
http://tourshop.online/.well-known/acme-challenge/AAABBBCCC........ZZZ
(имя файла и его содержимое - случайные наборы символов, определяемое сервером Let'sEncrypt). И если файл существует, и Let'sEncrypt его получает, и в нём то содержимое, которое ожидает Let'sEncrypt - то CHALLENGE успешен, SSL-сертификат выдаётся. Копайте в эту сторону, например в логах NGINX должно быть успешное обращение к файлу в директории /.well-known/acme-challenge/...

Почему не получается выдать сертификаты cert manager?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт