在当今云原生和容器化技术大行其道的时代，Rancher作为一款开源的Kubernetes管理平台，被广泛应用于企业级容器编排。许多用户在部署Rancher时容易忽略一个关键环节——SSL证书配置。没有正确的SSL证书，你的Rancher服务就像一栋没有锁的房子，随时可能被黑客入侵。本文将以通俗易懂的方式，结合真实场景案例，带你彻底搞懂Rancher SSL证书的配置逻辑和避坑指南。

一、为什么Rancher必须配置SSL证书？

场景案例：某公司开发团队直接使用HTTP协议访问Rancher控制台，结果内网流量被黑客劫持，导致Kubernetes集群凭据泄露。攻击者随后删除了生产环境的所有Pod。

SSL证书的作用可以类比为“快递加密包裹”：

1. 防窃听：像快递员看不到包裹里的物品一样，SSL加密防止流量被中间人监听（如密码、API调用）。

2. 防篡改：确保数据在传输过程中不被修改（比如恶意注入的YAML文件）。

3. 身份验证：证明你访问的确实是真实的Rancher服务器（而非钓鱼网站）。

二、三种常见的SSL证书方案对比

方案1：自签名证书（适合测试环境）

```bash

用OpenSSL快速生成自签名证书（有效期1年）

openssl req -x509 -newkey rsa:4096 -nodes -keyout rancher.key -out rancher.crt -days 365

```

- 优点：零成本，快速生成

- 缺点：浏览器会显示“不安全”警告（需手动信任），不适合生产环境

- 典型报错：`NET::ERR_CERT_AUTHORITY_INVALID`

方案2：Let's Encrypt免费证书（推荐个人/小团队）

使用certbot自动申请（需提前绑定域名并开放80/443端口）

certbot certonly --standalone -d rancher.yourdomain.com

- 优点：免费、自动续期

- 限制：

- 需要公有域名且能解析到服务器

- 单次有效期仅90天（需配置cron定时续期）

方案3：商业CA证书（企业级选择）

- 推荐厂商：DigiCert、Sectigo、GlobalSign

- 企业需求举例：

- EV证书显示绿色公司名称（增强信任）

- 支持多级子域名通配符（*.dev.yourcompany.com）

- SLA保障和理赔服务

三、实战演示：为Rancher配置Let's Encrypt证书

假设你的域名是`rancher.example.com`：

Step1: Docker安装时直接集成

docker run -d --restart=unless-stopped \

-p 443:443 -p 80:80 \

-v /etc/letsencrypt:/etc/letsencrypt \

rancher/rancher:latest \

--acme-domain rancher.example.com

> ?? Rancher会自动完成ACME验证和证书更新

Step2: Kubernetes Ingress配置示例

```yaml

apiVersion: networking.k8s.io/v1

kind: Ingress

metadata:

name: rancher-ingress

spec:

tls:

- hosts:

- rancher.example.com

secretName: letsencrypt-cert

cert-manager创建的Secret名称

rules:

host: rancher.example.com

http:

paths:

pathType: Prefix

path: "/"

backend:

service:

name: rancher

port:

number: 80

Step3: HTTPS强制跳转设置(Nginx示例)

```nginx

server {

listen 80;

server_name rancher.example.com;

return 301 https://$host$request_uri;

}

四、高频问题排查指南

?问题1："Your connection is not private"警告

- 原因: CA根证书未受信任

- 解决:

对于自签证书需将`.crt`文件导入操作系统信任库

商业证书检查中间证书链是否完整

?问题2:Kubernetes节点无法连接Rancher API

- 典型日志: `x509: certificate signed by unknown authority`

- 解决方案:

```bash

在所有节点执行：

sudo cp rancher-ca.crt /usr/local/share/ca-certificates/

sudo update-ca-certificates

```

?问题3:Cert-Manager续期失败

- 常见原因: DNS解析问题或ACME挑战端口被防火墙拦截

- 诊断命令:

kubectl describe challenge

查看ACME验证详情

五、进阶安全建议

1. HSTS头加固:

在响应头中加入`Strict-Transport-Security: max-age=63072000; includeSubDomains; preload`

2. 密钥轮换策略:

建议每3个月更换一次私钥(即使证书未到期)

3. CIS Benchmark合规项:

RKE2要求使用TLS1.2以上版本且禁用弱密码套件(如RC4)

4. 监控告警设置:

对即将过期的证书设置Prometheus告警规则:

```yaml

alert:CertExpirySoon{

expr:x509_cert_not_after{job="rancher"} < time() +86400*30

30天过期触发警报 }

通过以上步骤，你的Rancher平台将获得银行级别的传输安全保护。记住在云原生时代，"安全不是功能而是基础"，就像给容器世界的大门加上一把可靠的智能锁。

TAG:rancher ssl证书,namecheap ssl证书,ssl ca cert,ssl证书详解,sslcertificatechainfile