在当今云原生时代，Rancher作为一款开源的Kubernetes管理平台，被广泛应用于企业级容器集群的部署和运维。若未正确配置SSL证书，你的Rancher服务可能会面临数据泄露、中间人攻击等安全风险。本文将用通俗易懂的语言，结合真实场景案例，带你一步步完成Rancher的SSL证书配置。

一、为什么Rancher必须配置SSL证书？

想象一下：你通过HTTP协议访问Rancher控制台时，所有数据（包括账号密码、集群配置）都以明文传输。黑客只需在同一个Wi-Fi下抓包（比如用Wireshark工具），就能轻松窃取敏感信息。

真实案例：某公司内部测试环境的Rancher因未启用HTTPS，导致开发人员的kubeconfig文件被截获，攻击者直接通过该文件接管了整个Kubernetes集群！

二、SSL证书的三种常见类型

1. 自签名证书

- 适合测试环境，免费但浏览器会提示“不安全”。

- 生成命令示例：

```bash

openssl req -x509 -newkey rsa:4096 -nodes -keyout rancher.key -out rancher.crt -days 365

```

2. Let's Encrypt免费证书

- 自动化签发，适合个人或小型项目。

- 需配合Certbot工具（见后文实操步骤）。

3. 商业CA证书（如DigiCert、GeoTrust）

- 企业级选择，需付费但兼容性和信任度更高。

三、实战：为Rancher配置Let's Encrypt证书

场景假设

你的Rancher访问域名是 `rancher.example.com`，服务器IP为 `192.168.1.100`。

步骤1：安装Certbot工具

```bash

sudo apt update && sudo apt install certbot python3-certbot-nginx

```

步骤2：申请证书（Nginx为例）

sudo certbot --nginx -d rancher.example.com

Certbot会自动验证域名所有权并生成证书文件（通常保存在 `/etc/letsencrypt/live/rancher.example.com/`）。

步骤3：修改Rancher启动参数

如果是Docker部署的Rancher，修改启动命令：

docker run -d --restart=unless-stopped \

-p 443:443 -p 80:80 \

-v /etc/letsencrypt/live/rancher.example.com/fullchain.pem:/etc/rancher/ssl/cert.pem \

-v /etc/letsencrypt/live/rancher.example.com/privkey.pem:/etc/rancher/ssl/key.pem \

rancher/rancher:latest \

--no-cacerts

关键参数说明：

- `cert.pem`：证书链文件

- `key.pem`：私钥文件

- `--no-cacerts`：禁用默认的自签名证书

步骤4：验证HTTPS访问

打开浏览器访问 `https://rancher.example.com`，确认地址栏显示??标志且无警告信息。

四、常见问题排查

1. 浏览器提示“证书无效”

- 检查域名是否与证书匹配（比如误用了 `www.rancher.example.com`）。

- 用在线工具（如[SSL Labs](https://www.ssllabs.com/)）检测证书链完整性。

2. Nginx反向代理报错

确保代理配置中包含SSL参数：

```nginx

server {

listen 443 ssl;

server_name rancher.example.com;

ssl_certificate /etc/letsencrypt/live/rancher.example.com/fullchain.pem;

ssl_certificate_key /etc/letsencrypt/live/rancher.example.com/privkey.pem;

location / {

proxy_pass https://localhost:8443;

}

}

```

3. Let's Encrypt续期失败

添加定时任务自动续期：

```bash

echo "0 0 * * * certbot renew --quiet" | sudo crontab -

五、高级安全建议

- 启用HSTS：强制浏览器只通过HTTPS访问，防止SSL剥离攻击。在Nginx中添加：

```nginx

add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";

```

- 定期轮换私钥：即使私钥泄露也能限制影响范围。

通过以上步骤，你的Rancher平台将具备企业级的安全通信能力。如果遇到其他问题，欢迎在评论区留言讨论！

TAG:rancher配置ssl证书,ssl证书端口,rancher认证,rancher ingress配置,ssl证书如何配置