Получаем WildCard от Let’s Encrypt для домена. | Obu4alka

Проверка сертификата ssl/tls в почтовом сервере

Способов проверить сертификат в почтовом сервере множество. Например, у меня есть статья, где я настраиваю мониторинг сертификатов с помощью Zabbix. Там же есть примеры и для почтового сервера. Вот так с помощью openssl в консоли сервера можно посмотреть текущие сертификаты.

Что такое cfa?

CFA расшифровывается как Chartered Financial Analyst — «Дипломированный финансовый аналитик». Это сертификат, который подтверждает профессиональные знания для специалистов в области финансов, инвестиций и страхования. Его выдает Институт CFA — международная ассоциация экспертов по управлению инвестициями.

Важно понимать, что CFA — это не образовательный курс, а диплом, который выдается после прохождения экзамена. Чтобы получить степень CFA, вам не обязательно обучаться в конкретном вузе или заканчивать определенный курс. Институт CFA сформулировал перечень необходимых знаний и требований для соискателей, а также собрал список рекомендованной литературы. Эти знания вы можете тренировать либо самостоятельно, либо на дополнительных курсах.

Cert-manager

— специальный проект для Kubernetes, представляющий собой набор CustomResourceDefinitions (отсюда

на минимально поддерживаемую версию K8s — v1.12) для конфигурации CA (удостоверяющих центров) и непосредственного заказа сертификатов. Установка CRD в кластер тривиальна и

к применению одного YAML-файла:

Dovecot и сертификаты let’s encrypt

Дальше проделаем то же самое, только для Dovecot. Настроим его на работу с сертификатом let’s encrypt. Для этого добавляем в его конфиг /etc/dovecot/dovecot.conf параметры.

Let’s encrypt в postfix

Теперь настроим postfix на работу с бесплатным сертификатом от let’s encrypt. Для этого достаточно в конфигурационный файл /etc/postfix/main.cf добавить несколько параметров:

Nginx

Nginx предполагает несколько иной подход к настройке. Для каждого виртуального хоста в секцию server следует добавить блок:

location ^~ /.well-known/acme-challenge/ {
   default_type "text/plain";
   root /var/www/letsencrypt;
}
location = /.well-known/acme-challenge/ {
   return 404;
}

Я также рекомендуем вынести указанный блок в отдельный шаблон, например, /etc/nginx/letsencrypt.conf и впоследствии подключать в конфигурацию виртуального хоста именно его и в общих чертах это должно выглядеть так:

№1. самоподписанный сертификат

Ресурс Issuer будет выглядеть так:

apiVersion: cert-manager.io/v1alpha2
kind: Issuer
metadata:
  name: selfsigned
spec:
  selfSigned: {}

А чтобы выпустить сертификат, необходимо описать ресурс

Certificate

, где указывается, как произвести выпуск (см. раздел

issuerRef

ниже) и где размещен приватный ключ (поле

secretName

). После этого в Ingress потребуется сослаться на этот ключ (см. раздел

tlsspec

№3. wildcard le с валидацией через dns

Усложним задачу, выписав сертификат сразу на все поддомены сайта и воспользовавшись на этот раз DNS-проверкой (через CloudFlare).

Для начала получим в панели управления CloudFlare токен для работы через API:

1. Profile → API Tokens → Create Token.
2. Выставляем права доступа следующим образом:
3. Копируем полученный после сохранения токен (например: y_JNkgQwkroIsflbbYqYmBooyspN6BskXZpsiH4M).

Создадим Secret, в котором будет храниться этот токен, и сошлемся на него в Issuer:

№4. использование специальных аннотаций ingress

Помимо прямого пути по созданию сертификатов в cert-manager есть возможность воспользоваться компонентом под названием

и явно не создавать ресурсы

Certificate

. Идея заключается в том, что с помощью специальных аннотаций Ingress’а сертификат будет автоматически заказан с помощью указанного в них

Issuer

. В результате получается примерно следующий ресурс Ingress’а:

Зачем нужен cfa

Я не собираюсь работать в банковской сфере, но все равно решил, что мне нужно получить CFA. Для этого есть несколько причин:

• Сама подготовка к экзамену CFA — это отличная возможность прокачать себя в финансовой сфере.
• Степень CFA — это престижно. Конечно, она не гарантирует, что ты крутой портфельный менеджер и тебе стоит отдать в управление все деньги клиента. Но CFA подтверждает, что ты хорошо знаешь финансы.
• CFA может пригодиться в будущем. Весь процесс занимает много времени — как минимум три года. Быстро все это провернуть не получится. Так что если когда-нибудь чартер все-таки понадобится, сдача хотя бы нескольких уровней будет полезна. А понадобиться он может при трудоустройстве в особо строгие финансовые компании и топовые фонды или для того, чтобы впечатлить клиентов (возможно, это самое важное!).

Как подготовиться к cfa level i

Весь процесс подготовки я разделил на три основных блока: теория, решение вопросов и симуляция экзамена. Порой придется работать с несколькими блоками параллельно, и это важно.

Как получить сертификат cfa?

Диплом CFA подтверждает знания, но не заменяет обучение в области финансов. Напротив, для получения сертификата требуется высшее образование и профильный опыт работы.

Для получения CFA необходимо сдать три уровня письменных экзаменов. Они проводятся только на английском языке. Экзамен по каждому уровню проводится один раз в год, в определенный день во всем мире. Соответственно, учебная программа CFA занимает не меньше трех лет.

В этом году я сдал экзамен CFA Level I. Сдал я его с первого раза и достаточно хорошо: почти по всем темам набрал больше 70 % правильных ответов. После этого я начал анализировать свой процесс подготовки, чтобы приступить ко второму уровню, и выяснил интересный факт.

Подготовка заняла у меня всего 60 часов. Насколько я помню, CFA Institute советует тратить на каждый уровень от 100 до 200 часов, и у многих людей действительно уходит примерно столько времени. Как мне удалось подготовиться гораздо быстрее? Секрет в том, что я много времени уделял планированию и аналитике. Да-да, вместо того, чтобы читать книжки и решать задачки, сидел перед компом и строил планы. Все как я люблю.

Благодаря планированию мне удалось сократить время на подготовку к экзамену, а оставшееся потратить на просмотр сериалов. Не знаю, как вы, а я от эффективного тайм-менеджмента получаю огромное удовольствие. Почти такое же, как от просмотра самих сериалов (всем ведь хотелось узнать, чем кончится 7-й сезон «Игры престолов»).

Настройка автопродления сертификатов

Тут всё просто, точнее даже очень просто.

Создаем исполняемый bash скрипт и открываем на редактирование:

sudo touch /etc/cron.weekly/cert-nginx && sudo chmod  x /etc/cron.weekly/cert-nginx && sudo nano /etc/cron.weekly/cert-nginx

Следующего содержания:

Опыт сдачи the iia’s acca cia challenge exam – квалификация cia (certified internal auditor) – институт внутренних аудиторов

Получаем wildcard от let’s encrypt

Давайте наконец-то получим наш сертификат для поддоменов. но для начала в тестовом режиме. В терминале набираем:

Получаем сертификат от let’s encrypt

Итак, я считаю, что вы настроили почтовый сервер по предложенной выше ссылке. Значит, у вас установлен веб сервер Apache, а так же все в порядке с dns записями. Сертификатов мы получим сразу два. Для доменных имен:

Для настройки получения сертификатов let’s encrypt и настройки apache, нам нужно будет установить несколько пакетов. Напоминаю, что речь идет про Centos 8. В других системах настройка будет аналогичной, только имена пакетов могут отличаться.

Помогла статья? подписывайся на telegram канал автора

Анонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.

Пример простой автоматизации letsencrypt

Удостоверяющий центр «Let’s Encrypt» (далее просто letsencrypt) вышел из беты пару месяцев назад, пообтерся в реальных условиях, избавился от детских болезней и оброс различными клиентами. И к этому моменту выдал 5 миллионов сертификатов. Самое время внедрять, т.е. получать сертификаты на свои домены и обновлять их в автоматическом режиме. Но как внедрить так, чтобы приблизиться к любимому админскому «поставил и забыл»? Чтобы было просто получать новые сертификаты, а старые при этом обновлялись автоматом? Ну и как добавить немного безопасности в этот процесс?
Ответ под катом.

Как я уже сказал, letsencrypt оброс различными клиентами, которые позволяют получить сертификат. Этих самых клиентов, кстати, уже

десятки

под разные системы и языки программирования. В статье будет рассказано про реализацию клиента на bash от lukas2511,

letsencrypt.sh

. Это один скрипт на bash, который лежит в своей папке и для работы ему нужен только openssl. Запускаться он будет под отдельным пользователем. Конечно, при желании, всегда можно ещё сильнее закрутить гайки в плане безопасности — запускать в chroot и т.д.

Сначала нужно скачать и настроить скрипт.
Предположим, что ОС — linux, веб сервер — nginx, рабочая папка скрипта — /opt/letsencrypt, а пользователь — le.
Создадим системного пользователя, из под которого будет работать скрипт. При создании системного пользователя в debian/ubuntu, ему выставляется оболочка /bin/false и назначается группа nogroup, что нам вполне подходит.

$ sudo adduser --system --home /opt/letsencrypt le

Теперь можно стать этим пользователем и все делать под ним (кроме настройки nginx).

Скачиваем скрипт и смотрим содержимое.

$ sudo -u le -s
$ git clone https://github.com/lukas2511/letsencrypt.sh.git /opt/letsencrypt/
$ ls -la /opt/letsencrypt/
total 84
drwxr-xr-x 4 le   le    4096 Jun 25 15:56 .
drwxr-xr-x 3 root root  4096 Jun 25 15:53 ..
-rw-r--r-- 1 le   le    1406 Jun 25 15:56 CHANGELOG
drwxr-xr-x 3 le   le    4096 Jun 25 15:56 docs
drwxr-xr-x 8 le   le    4096 Jun 25 15:56 .git
-rw-r--r-- 1 le   le     108 Jun 25 15:56 .gitignore
-rwxr-xr-x 1 le   le   37634 Jun 25 15:56 letsencrypt.sh
-rw-r--r-- 1 le   le    1080 Jun 25 15:56 LICENSE
-rw-r--r-- 1 le   le    3040 Jun 25 15:56 README.md
-rwxr-xr-x 1 le   le    8048 Jun 25 15:56 test.sh
-rw-r--r-- 1 le   le     107 Jun 25 15:56 .travis.yml

Для работы скрипту нужна папка, куда он будет складывать файлы для валидации доменов.

По умолчанию скрипт настроен использовать папку

/opt/letsencrypt/.acme-challenges

и будет падать с ошибкой, если такой папки нет.

Так же желательно создать конфиг с нужными параметрами. Параметры для работы скрипт пытается брать из файла

/opt/letsencrypt/config

. По умолчанию файла нет и скрипт использует значения по умолчанию, но есть хорошо документированный конфиг в папке с документацией, который можно взять за основу.

Создаем папку и копируем конфиг

$ mkdir /opt/letsencrypt/.acme-challenges
$ cp /opt/letsencrypt/docs/examples/config /opt/letsencrypt/config

Чтобы посмотреть, с какими значениями работает скрипт, его можно вызвать с ключем

--env

$ /opt/letsencrypt/letsencrypt.sh --env
# letsencrypt.sh configuration
#
# !! WARNING !! No main config file found, using default config!
#
declare -- CA="https://acme-v01.api.letsencrypt.org/directory"
declare -- LICENSE="https://letsencrypt.org/documents/LE-SA-v1.0.1-July-27-2021.pdf"
declare -- CERTDIR="/opt/letsencrypt/certs"
declare -- CHALLENGETYPE="http-01"
declare -- DOMAINS_TXT="/opt/letsencrypt/domains.txt"
declare -- HOOK=""
declare -- HOOK_CHAIN="no"
declare -- RENEW_DAYS="30"
declare -- ACCOUNT_KEY="/opt/letsencrypt/accounts/aHR0cHM6Ly9hY21lLXYwMS5hcGkubGV0c2VuY3J5cHQub3JnL2RpcmVjdG9yeQo/account_key.pem"
declare -- ACCOUNT_KEY_JSON="/opt/letsencrypt/accounts/aHR0cHM6Ly9hY21lLXYwMS5hcGkubGV0c2VuY3J5cHQub3JnL2RpcmVjdG9yeQo/registration_info.json"
declare -- KEYSIZE="4096"
declare -- WELLKNOWN="/opt/letsencrypt/.acme-challenges"
declare -- PRIVATE_KEY_RENEW="yes"
declare -- OPENSSL_CNF="/usr/lib/ssl/openssl.cnf"
declare -- CONTACT_EMAIL=""
declare -- LOCKFILE="/opt/letsencrypt/lock"

Описание некоторых параметров

CA

— какой удостоверяющий центр использовать. Их, как минимум два — боевой (по умолчанию) и

тестовый

. Дело в том, что у боевого есть

разные ограничения

по частоте запросов и количеству доменов. В эти ограничения легко упереться при тестировании. Поэтому я рекомендую для тестовых запусков указать тестовый центр. Он работает так же, как боевой, просто генерирует невалидные сертификаты.

Вот тестовый CA:

CA="https://acme-staging.api.letsencrypt.org/directory"

CERTDIR

— папка для сертификатов. Внутри неё отельные папки по имени хоста. А в этих папках уже сертификаты для каждого хоста. Нужно будет настроить nginx читать сертификаты из этих папок (см. ниже).

DOMAINS_TXT — список доменов. Одна строчка — один сертификат. В одной строчке может быть несколько доменов, тогда создается один сертификат для них. Скрипт берет первый домен, как название сертификата, а остальные домены указывает, как дополнительные. Например, для такого файла, скрипт создаст два сертификата: some.domain.com и test.com.
some.domain.com another.domain.net example.domain.org
test.com www.test.org ftp.test.net

HOOK — скрипт, который запускается при различных действиях (при валидации доменов, при генерации сертификатов и т.д.).
Скрипту передаются разные параметры: название операции, пути к новым сертификатам и т.д.
Указание своего скрипта может помочь, если вам нужно выполнять чуть больше действий на каждом шаге.
Например, сертификат нужно разложить на несколько серверов, или нужно проводить валидацию домена через dns, а не через файл.
Скрипт, который ничего не делает, но содержит массу комментариев, лежит по адресу /opt/letsencrypt/docs/examples/hook.sh

RENEW_DAYS — через сколько дней обновлять сертификат. Максимум 90, по умолчанию 30.

CONTACT_EMAIL — рабочий email администратора.

Я рекомендую указать в конфиге свой email в

CONTACT_EMAIL

и на время тестов прописать тестовый

CA

.

Установка и первоначальная настройка скрипта на этом завершены. Теперь можно получать сертификаты.

Для начала получим сертифкат для одного домена: letest.lexore.net
В nginx для теста сделаем простой конфиг виртуального хоста, который будет выводить протокол, http или https.

server {
    listen 80;
    server_name letest.lexore.net;
    location /.well-known/acme-challenge/ { alias /opt/letsencrypt/.acme-challenges/; }

    location / {
         default_type text/plain;
         return 200 "scheme: $scheme";
    }
}

Ключевой параметр:

location /.well-known/acme-challenge/

В папке

/opt/letsencrypt/.acme-challenges/

создаются файлы для подтверждения, что вы управляете сайтом.

Они должны быть доступны по адресу

имя_сайта/.well-known/acme-challenge/

, иначе сертификат не подпишут.

Названия файлов генерируются случайным образом, поэтому проще открыть доступ ко всей папке.

В конце скрипт удаляет созданный файл, так что папка не будет захламляться.

Перезагрузим nginx и проверим сайт:

$ curl -i letest.lexore.net
HTTP/1.1 200 OK
Server: nginx
Date: Sun, 26 Jun 2021 13:13:18 GMT
Content-Type: text/plain
Content-Length: 12
Connection: keep-alive

scheme: http

Теперь нужно прописать имя хоста в domains.txt и запустить сам скрипт

$ echo letest.lexore.net > /opt/letsencrypt/domains.txt
$ /opt/letsencrypt/letsencrypt.sh --cron
# INFO: Using main config file /opt/letsencrypt/config
Processing letest.lexore.net
   Signing domains...
   Creating new directory /opt/letsencrypt/certs/letest.lexore.net ...
   Generating private key...
   Generating signing request...
   Requesting challenge for letest.lexore.net...
   Responding to challenge for letest.lexore.net...
   Challenge is valid!
   Requesting certificate...
   Checking certificate...
   Done!
   Creating fullchain.pem...
   Done!

Сертификат готов, файлы сертификата и ключа лежат в папке “

/opt/letsencrypt/certs/letest.lexore.net

“.

Осталось добавить настройки в nginx. Нужно добавить следующие строки в конфиг виртуального хоста:

listen   443 ssl;
ssl_certificate /opt/letsencrypt/certs/letest.lexore.net/fullchain.pem;
ssl_certificate_key /opt/letsencrypt/certs/letest.lexore.net/privkey.pem;

После перезагрузки nginx, можно пробовать сайт в браузере.

Если в конфиге скрипта был указан тестовый CA, браузер заругается на сертификат.

Но это все равно значит, что скрипт и nginx настроены правильно.

Теперь нужно просто поменять CA в конфиге на боевое значание и запустить скрипт ещё раз, добавив параметр

--force

.

Без этого параметра скрипт не станет заново генерировать сертификат, т.к. ещё не подошел срок устаревания, указанный в конфиге.

le@endor:~$ /opt/letsencrypt/letsencrypt.sh --cron --force
# INFO: Using main config file /opt/letsencrypt/config
Processing letest.lexore.net
   Checking domain name(s) of existing cert... unchanged.
   Checking expire date of existing cert...
   Valid till Sep 24 12:13:00 2021 GMT (Longer than 80 days). Ignoring because renew was forced!
   Signing domains...
   Generating private key...
   Generating signing request...
   Requesting challenge for letest.lexore.net...
   Responding to challenge for letest.lexore.net...
   Challenge is valid!
   Requesting certificate...
   Checking certificate...
   Done!
   Creating fullchain.pem...
   Done!

После запуска скрипта и перезагрузки nginx у сайта появится правильный сертификат.

Про сертификаты:  Сертификаттаудың түрлері. Ерікті сертификаттау Сұрақ-жауап архивы

Сертификат готов, https работает.

Пару слов про несколько доменов.

Один сертификат может использоваться для нескольких доменов. Например, вот как это будет выглядеть, если добавить

subdomain.letest.lexore.net

.

Запуск скрипта:

$ /opt/letsencrypt/letsencrypt.sh --cron --force
# INFO: Using main config file /opt/letsencrypt/config
Processing letest.lexore.net with alternative names: subdomain.letest.lexore.net
   Checking domain name(s) of existing cert... changed!
   Domain name(s) are not matching!
   Names in old certificate: letest.lexore.net
   Configured names: letest.lexore.net subdomain.letest.lexore.net
   Forcing renew.
   Checking expire date of existing cert...
   Valid till Sep 24 12:48:00 2021 GMT (Longer than 80 days). Ignoring because renew was forced!
   Signing domains...
   Generating private key...
   Generating signing request...
   Requesting challenge for letest.lexore.net...
   Requesting challenge for subdomain.letest.lexore.net...
   Responding to challenge for letest.lexore.net...
   Challenge is valid!
   Responding to challenge for subdomain.letest.lexore.net...
   Challenge is valid!
   Requesting certificate...
   Checking certificate...
   Done!
   Creating fullchain.pem...
   Done!

Правка конфига nginx, перезапуск, и вот новый сертификат работает уже на два домена.

Домены не обязаны быть как-то связаны, можно сделать один домен для domain.com и ftp.example.net.

Максимум можно указать

100 доменов

в одном сертификате.

Кому-то этого может хватить, чтобы обойтись одним сертификатом для всех сайтов на сервере.

Правда, этот сертификат придется пересоздавать на каждый новый домен в списке, и можно упереться в лимиты.

А теперь самое приятное — автоматизация.
Для того, чтобы скрипт сам обновлял все сертификаты из файла domains.txt и вы забыли про манипуляции руками, нужно добавить одну строчку в крон пользователя le:

0 1 * * * /opt/letsencrypt/letsencrypt.sh --cron

Таким образом, алгоритм перевода последующих сайтов на https:

Это не единственный способ автоматизации, многие клиенты letsencrypt позволяют свести всю работу к запуску одного скрипта по крону.
Данный скрипт мне понравился за простоту- всю работу делает один скрипт на bash.
А так же, за свои дополнительные возможности — кроме простой автоматизации, он из коробки поддерживает «сложную» автоматизацию, запуск своих скриптов и переопределение параметров.
Например, я уже упомянул про параметр HOOK в конфиге, который позволяет запускать свой скрипт.
Так же из коробки есть параметр CONFIG_D — папка, в которой будут запускаться все .sh скрипты для переопределения параметров основного конфига.
Плюс, поддержка разных «аккаунтов» через указание разных ACCOUNTDIR — папок с приватными ключами для подписи запросов.
Мне кажется, это позволит использовать скрипт в больших и сложных инфраструктурах.

Продление сертификатов

После того, как все сертификаты получены и настроены сайты и службы их использующие встает вопрос об их продлении. Мы помним, что срок действия сертификата — 90 дней, поэтому если их много и получены они в разное время, то вручную следить за всем этим хозяйством будет весьма и весьма проблематично.

Разобраться в теории

Конечно, начать стоит с теории. Плохая новость: ее много. Очень много. Вторая плохая новость: ее придется прочитать. Это нужно сделать потому, что в программе много специфических тем (одна этика чего стоит), знание которых вам не гарантирует ни одно профильное образование (привет, МИЭФ!).

Но хорошая новость в том, что и тут есть обходные пути. Многие используют для подготовки огромные книжки вроде Schweser (5 книг по 500 страниц только для CFA Level I). Они дают подробный и детальный материал, но работа с ним не самая эффективная, ведь существуют слайды.

Time estimate: 5–20 часов (мои затраты — 10 часов).

Но на этом работа с теорией не заканчивается, потому что очень важно закреплять ее практикой и сразу после прочтения материала отвечать на вопросы по нему. Так как теории очень много, то эффективнее всего работать с отдельными темами. Я поставил себе бенчмарк — 70 %.

Пока я не набирал этот результат в тесте по каждой теме, не переходил к следующей. Это был своеобразный контроль качества. Тут нужно иметь доступ к аналитике ответов (он есть на всех хороших платформах), чтобы сравнивать свой процесс с бенчмарком. Важно иметь возможность детализировать свои результаты и видеть процент правильных ответов не в среднем по теме, а конкретно по каждой подтеме, ведь в CFA есть несколько уровней контента (большие категории — конкретные темы — подтемы — группы вопросов [LOS]). Чем подробнее детализация, тем лучше можно проанализировать свои результаты.

Time estimate: 10–30 часов (мои затраты — 20 часов).

Регистрация в let’s encrypt

Регистрация нужна для формирования ключевой пары, которой впоследствии подписываются все запросы, что позволяет удостовериться в подлинности отправителя. Это важно, так как все запросы передаются по открытым каналам и теоретически возможен их перехват и модификация.

Адрес электронной почты указываемый при регистрации используется для рассылки уведомлений, например, при неудачной попытке продления сертификата, поэтому следует указывать рабочий ящик, лучше всего собственный. Один и тот-же адрес можно использовать для регистрации на разных хостах, ограничений по этому параметру нет.

Для регистрации выполните команду:

Решить пробные вопросы

Когда мы разберемся со всей теорией, можно приступать к основной практической части. Я бы рекомендовал работать с блоками вопросов по 120 штук (это половина самого экзамена CFA) и разбирать каждый вопрос сразу после его решения. То есть не откладывать разбор на конец, а анализировать сразу после каждого вопроса.

Сначала стоит включать в эти большие тесты все категории вопросов, а потом потихоньку выкидывать те, в которых процент правильных ответов стабильно выше 70 %. Таким образом, через какое-то время останется всего несколько самых сложных категорий, а потом и вовсе ни одной. Теперь пора переходить к следующему блоку.

Time estimate: 10–30 часов (мои затраты — 10 часов).

Сдать пробные экзамены

Теперь начинается самое интересное — симуляция экзамена, то есть решение моков. Сам экзамен длится шесть часов всего с одним часовым перерывом. Помимо этого, есть достаточно длительные административные процедуры. В итоге экзамен занимает около девяти часов.

К этому надо быть готовым, и моки отлично помогают. Начать можно с решения моков онлайн, а потом стоит попрактиковаться в оффлайне. Многие компании предлагают возможность написать тренировочный CFA ближе к дате проведения экзамена. Это помогает привыкнуть к формату и проверить свои силы.

После решения моков стоит снова перейти к анализу и определить, с какими темами у вас больше всего проблем. Дальше переходим к блоку II и повторяем снова.

Вместо заключения

Путём несложных манипуляций с CRD мы научились выписывать автопродляемые, самоподписанные и бесплатные SSL-сертификаты от проекта Let’s Encrypt для доменов сайтов, запущенных в рамках Ingress’ов в Kubernetes-кластерах.

В статье приведены примеры решения наиболее частых в нашей практике задач. Однако функции cert-manager не ограничиваются описанными выше возможностями. На сайте утилиты можно найти примеры работы с другими сервисами — например, связка с Vault или же использование внешних выпускающих центров (issuers).

Заключение

Конечно, подобный подход не гарантирует, что вы уложите вашу подготовку в 60 или даже 100 часов. Здесь все зависит от вас и вашего бэкграунда. Например, на освоение теории может уйти около 5 часов, если вы были топовым студентом в топовом финансовом вузе, а может и 20 часов, если вы учились не очень хорошо или не по этой специальности.