在云原生时代，Rancher作为Kubernetes集群管理的明星工具，安全性配置是每个运维人员的必修课。而HTTPS证书作为数据传输的"加密护甲"，一旦配置不当轻则导致浏览器警告，重则引发中间人攻击。本文将以"老张的翻车现场"为例，手把手带你玩转Rancher证书配置。

一、为什么Rancher必须配HTTPS证书？

想象一下老张的故事：他在测试环境直接用HTTP访问Rancher，某天突然发现同事通过公司WiFi就能嗅探到他的管理员密码。这是因为：

1. 明文传输风险：HTTP下所有数据如同明信片，途经的每个路由节点都能偷看

2. 身份伪装威胁：攻击者可以伪造Rancher登录页诱导输入凭证

3. 合规性要求：等保2.0三级明确要求管理接口必须HTTPS加密

> 真实案例：2025年某车企K8s集群被入侵，根源正是未加密的Dashboard暴露在公网

二、证书类型选择指南（附对比表格）

| 证书类型 | 适用场景 | 优缺点对比 | Rancher适配度 |

|-||-||

| 自签名证书 | 内网测试环境 | 免费但浏览器报红叉警告 | ?? |

| Let's Encrypt | 公有云环境 | 自动续期但需开放80/443端口 | ???? |

| 商业CA证书 | 生产环境/合规要求严格场景 | 收费但兼容性最好 | ????? |

特殊场景处理：

- 泛域名证书：当需要同时保护rancher.example.com和*.dev.example.com时

- 多SAN证书：单证书包含多个域名（如内网DNS和公网域名）

三、手把手配置实战（以Let's Encrypt为例）

█ 前置条件检查

```bash

确认443端口未被占用

ss -tulnp | grep 443

检查域名解析是否生效

dig +short rancher.yourdomain.com

```

█ Certbot自动化申请（ACME协议）

sudo certbot certonly --standalone -d rancher.yourdomain.com \

--pre-hook "systemctl stop nginx" \

--post-hook "systemctl start nginx"

*注：这里需要临时停用占用80/443的服务*

█ Rancher Helm升级关键参数

```yaml

ingress:

tls:

source: secret

secretName: tls-rancher-ingress

extraEnv:

- name: CATTLE_TLS_MIN_VERSION

value: "1.2"

禁用不安全的TLS1.0/1.1

█ Kubernetes Secret创建技巧

PEM格式转换小技巧（某些CA提供.crt+.key组合）

cat domain.crt intermediate.crt > fullchain.pem

kubectl -n cattle-system create secret tls tls-rancher-ingress \

--cert=fullchain.pem \

--key=domain.key \

--dry-run=client -o yaml > secret.yaml

四、那些年我们踩过的坑（故障排查清单）

1. 浏览器提示"无效证书链"

- ??检查是否缺失中间CA证书

- ??使用`openssl s_client -showcerts -connect rancher:443`验证链完整性

2. 突然无法访问

- ??查看ingress-controller日志：

```bash

kubectl logs -n ingress-nginx deploy/ingress-nginx-controller --tail=50

```

- ??常见原因：证书过期（Let's Encrypt有效期90天）

3. iOS设备无法连接

- ??特别注意：苹果设备要求SAN字段必须包含域名

五、高阶安全加固方案

1. 双向mTLS认证（适合金融级安全要求）：

```yaml

ingress.extraArgs:

default-ssl-certificate: "cattle-system/tls-rancher-ingress"

ssl-client-cert-header: "X-SSL-CERT"

ssl-verify-client: "on"

```

2. HSTS强制加密（防降级攻击）：

```nginx

add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";

3. 定期轮换监控：

```bash

CronJob示例：提前30天告警

openssl x509 -in /etc/rancher/ssl/cert.pem -noout -enddate

> ?? 运维冷知识：Rancher v2.6.4之后新增`CATTLE_TLS_CIPHERS`环境变量，可自定义加密套件，禁用弱算法如RC4、DES。

通过本文的阶梯式讲解，相信你已经掌握从基础配置到生产级加固的全套技能。记住，好的安全防护不是一次性的工作，而需要建立包括监控、告警、定期审计在内的完整闭环。现在就去检查你的Rancher控制台地址栏是否有小绿锁吧！

TAG:rancher https 证书,rancher 证书过期,rancher证书生成,https证书安装教程,rancher认证