K8S手动配置或更换证书指引

SSL证书（Secure Socket Layer Certificate）是一种数字证书，用于加密网络通信并验证服务器的身份。它允许两个实体之间进行安全通信，例如客户端和服务器或服务器之间。 SSL证书对于保护在线传输的敏感数据（例如信用卡信息、个人身份信息等）至关重要。

在没有前置网关转发到K8S的情况下，可以将证书配置在K8S的Ingress中。

前置准备

从证书服务商中下载Nginx类型的证书文件,一般为有.key、.crt、.pem 三个此类型的压缩文件。
.key为密钥
.crt为证书，存储格式一般为pem
.pem为证书或密钥的Base64文本存储格式

泛域名证书和单域名证书是两种常见的SSL/TLS证书类型。下面是它们的主要区别：

1. 泛域名证书

泛域名证书的主要特点是，它可以用于保护多个子域名。
具体来说，可以通过使用通配符，例如 "*.example.com" 来覆盖所有子域名，
例如www.example.com、mail.example.com、blog.example.com等等。
这在大型网站或平台中是非常有用的，因为它可以覆盖所有子域名，并为整个域名提供了良好的安全保护。

2. 单域名证书

单域名证书只能用于保护单个域名。
例如，如果您有一个名为www.example.com的网站，那么您将需要一个单个域名证书来保护它。
单域名证书只能与一个域名关联，如果您有多个子域名或其他想要保护的域，您需要为这些域名分别购买单域名证书。

总之，泛域名证书为您的网站提供了更广泛的保护范围，而单域名证书仅限于一个单独的域名。
在选择证书类型时，可以根据实际需要和预算考虑。

新增证书配置

以下操作均以在Kuboard中操作为例

创建Secret

• 命名空间-配置中心-密文-创建Secret
• 名称：便于直观分辨是哪个域名的证书，建议以当前配置的域名为名字如example.com
• 类型选择:TLS
• tls.crt：将证书文件以文本文件的方式打开，将内容贴于此处。(.pem的内容也行)
• tls.key: 即密钥文件的文本内容
• 保存

选择证书

一般给pai-workbench-ui或pai-gateway配置即可，整个集群同域名入口皆生效。

• 命名空间-应用路由-pai-workbench-ui-编辑
• 选中HTTPS，再选择上面添加的example.comSecret（域名与证书一定得对应），保存

浏览器刷新，地址栏出现🔒样式即配置成功

更新证书配置

更新证书只需要更新Secret的tls.crt与tls.key即可，应用路由不需要重新选择

• 命名空间-配置中心-密文-选择需要更新的Secret
• tls.crt：将新的证书文件以文本文件的方式打开，将内容贴于此处。(.pem的内容也行)
• tls.key: 即密钥文件的文本内容
• 保存后以无痕模式(浏览器可能存在缓存)打开对应的地址，点击地址栏🔒查看是否更新