Я пытаюсь настроить обратный прокси-сервер с SSL с использованием подстановочных знаков, используя Traefik , с вызовом DNS для зоны Cloudflare.
У меня есть эта конфигурация в k8s:
kind: ConfigMap
apiVersion: v1
metadata:
name: traefik-https
namespace: kube-system
data:
traefik.toml: |
# traefik.toml
defaultEntryPoints = ["http","https"]
[entryPoints]
[entryPoints.http]
address = ":80"
[entryPoints.http.redirect]
entryPoint = "https"
[entryPoints.https]
address = ":443"
[entryPoints.https.tls]
[acme]
email = "notmyrealemail@example.com"
storage = "/etc/traefik/acme.json"
entryPoint = "https"
caServer = "https://acme-v02.api.letsencrypt.org/directory"
[[acme.domains]]
main = "*.notmyrealsite.com"
sans = ["notmyrealsite.com"]
[acme.dnsChallenge]
provider = "cloudflare"
Я передаю правильные переменные окружения CLOUDFLARE_API_KEY
и CLOUDFLARE_EMAIL
env в восходящем контейнере, но вижу эту ошибку в консоли:
time = "2018-06-13T09: 47: 39Z" level = error msg = "Невозможно получить ACME сертификат для доменов \ "*. notmyrealsite.com, notmyrealsite.com \": не удается получить сертификаты: acme: Error -> Один или несколько доменов имели проблема: \ n [notmyrealsite.com] acme: Ошибка 403 - urn: ietf: params: acme: error: unauthorized - Неверная запись TXT \ "HREckyrZXY7uCVLaUkoYzadxkHbwfFavNWS_v14yMzk \" найдено по адресу _acme-challenge.notmyrealsite.com \ n "
Я не уверен, означает ли это, что вход в CF успешен и был обновлен (но только с неправильной записью TXT), или это то, что он ожидает увидеть - а там ничего нет.
Просмотр записей DNS в CF не обнаруживает вообще никаких записей TXT.
(Я использую только бесплатный тарифный план CF, поэтому не получаю необработанных журналов чтобы узнать, какие попытки были предприняты против DNS)
Что могло быть причиной несоответствия TXT?
Скорее обходной путь, чем решение:
Вместо:
[[acme.domains]]
main = "*.example.org"
sans = ["example.org"]
Используйте:
[[acme.domains]]
main = "*.example.org"
[[acme.domains]]
main = "example.org"