K8s: nginx-ingress: SSL_do_handshake() fehlgeschlagen (SSL: Fehler: 191CF08C: SSL-Routinen: tls_parse_ctos_key_share: ungültiger Schlüsselanteil)

tag-icon tag-icon ssl kubernetes lets-encrypt certificate-authority nginx-ingress
K8s: nginx-ingress: SSL_do_handshake() fehlgeschlagen (SSL: Fehler: 191CF08C: SSL-Routinen: tls_parse_ctos_key_share: ungültiger Schlüsselanteil)

Da wir festgestellt haben, dass sowohl der Nginx-Ingress als auch der Cert-Manager veraltet und nicht mehr mit der Kubernetes-Version 1.22 kompatibel sind, habe ich die beiden Komponenten aktualisiert: Nginx-Ingress von 0.26.1 auf 1.5.1 und den Cert-Manager von Version 0.12.0 auf 1.5.

was dazu führte, dass die Cert-Manager-Pods ausgeführt wurden

kubectl get pods -n cert-manager
NAME                                       READY   STATUS    RESTARTS   AGE
cert-manager-dfp85b9bd-ptk9l               1/1     Running   0          26h
cert-manager-cainjector-3d65bcdcfd-fktsz   1/1     Running   0          26h
cert-manager-webhook-c596f8c6c-8cx4x       1/1     Running   0          26h

UND

Kubectl get certificates -n default
NAME               READY   SECRET             AGE
alertmanager-tls   False   alertmanager-tls   1y12d
prometheus-tls     False   prometheus-tls     1y19d

und cmctl check api -n cert-manager gibt zurück: Die cert-manager API ist bereit

Verwaiste Geheimnisse bereinigen Dadurch wurden die automatisch erstellten selbstsignierten CA-Zertifikate des Zertifikatsmanagers gelöscht. Nach einem Neustart sahen die Protokolle weitgehend sauber aus.

Immer noch vorhandene Fehler:

cert-manager-cainjector: cert-manager/secret-for-certificate-mapper "msg"="unable to fetch certificate that owns the secret" "error"="Certificate.cert-manager.io "grafana-tls" not found"

nginx-ingress: SSL_do_handshake() failed (SSL: error:191CF08C:SSL routines:tls_parse_ctos_key_share:bad key share) while SSL handshaking, client

verwandte Informationen