tuna2134

事前説明

私はサイトをKubernetes上で動かしており、cert-managerを使ってLet's EncryptのSSL証明書を発行していました。

アカウントの発行

gcloud init

でまず環境を初期化

そののち

gcloud services enable publicca.googleapis.com

でGoogle Trust Serviceを有効化

次にアカウントの発行

gcloud publicca external-account-keys create

そうすると以下のように返される。

Created an external account key
[b64MacKey: <eab-secret>
keyId: <key-id>]

次のcert-managerの例で使うからメモしておく。

keyをsecretに登録

kubectl create secret generic eab-secret \
    --from-literal secret=<eab-secret> \
    -n cert-manager

cert-managerの例

# issuer-lets-encrypt-staging.yaml
apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: gts-prod
spec:
  acme:
    server: https://dv.acme-v02.api.pki.goog/directory
    email: <mail address>
    externalAccountBinding:
      keyID: <key-id>
      keySecretRef:
        name: eab-secret
        key: secret
    privateKeySecretRef:
      name: example-issuer-account-key
    solvers:
    - http01:
        ingress:
          ingressClassName: nginx

最後に

このサイトもGoogle Trust Service使っています。