我总是喜欢参加社区活动，因为那是学习新东西的好机会。几天前，我参加了第一次Azure Midlands社区会议，当Microsoft MVP Marco De Sanctis介绍在Kubernetes群集中管理TLS/SSL证书是多么容易时，我想我需要测试我的SAP Data Hub安装并与您共享！

要访问部署在Azure Kubernetes服务上的SAP数据中心，您需要使用入口控制器将系统管理暴露到internet或本地网络。如果您关注有关安装SAP数据中心的官方文档或我的博客，有一个小脚本可以让您创建自签名证书并将其上载到vsystem tls certs secret。但这不是最好的方法，因为用户无法验证网站所有者，你会得到这个丑陋的欢迎屏幕！

还有另一种方法。您可以请求并导入受信任的证书。这样你的网站是安全的，你可以看到一个小的地址栏上的绿色锁。但每个证书最终都会过期，您需要记住替换它。哦，数据中心解决方案，我差点忘了——你得付证书的钱！

但还有第三种方法。很可能你已经熟悉了让我们加密。他们免费提供TLS/SSL证书，今天我将向您展示如何启用到SAP Data Hub cluster的自动部署。

（来源：https://docs.cert-manager.io/)

我的假设是，您已经安装了SAP数据集线器，大数据下，并使用入口服务将系统管理公开给互联网。如果您还没有安装，请参阅安装指南或我的帖子，上海大数据，并在您可以访问网站时继续使用此指南。

安装证书管理器

我们将使用helm在AKS群集上安装证书管理器。这是一个Kubernetes服务，提供来自的证书，让我们加密并自动将它们部署到配置的机密中。证书管理器正在使用默认情况下在Kubernetes上不可用的自定义资源，因此我们首先在新命名空间中创建自定义资源定义（crd）：

我标记证书管理器命名空间以禁用资源验证

证书管理器包含在自定义存储库中，因此我们需要将其添加到helm并运行更新：

最后我们可以安装服务：

要验证安装，您可以显示在cert manager命名空间中运行的pods：

配置证书颁发者

颁发者是我们已经导入到Kubernetes集群的自定义资源之一，它指定将生成TLS的证书颁发机构我们的证书。创建以下清单，并在电子邮件字段中键入您的电子邮件地址：

根据清单文件创建颁发者：

配置入口服务

最后一步是修改SAP交付的入口脚本，云服务器购买，以添加注释，怎么选购云服务器，说明此服务应包含在证书部署过程中。别忘了更新你的域名。

应用新的设置：

让我们更仔细地看看在新入口内发生了什么：

在事件部分，你会看到证书已成功创建：

你还可以查看证书资源。正如您在下面看到的，我最初在letsencrypt prod发行者上遇到了一个问题，这在事件部分中已经提到了。在我的例子中，问题是prod中设置的电子邮件地址不正确-发行人.yaml文件。

测试

让我们回到SAP数据中心并刷新屏幕。这一次没有关于潜在安全风险的信息，但是相反，我们有一个登录屏幕和地址栏中的绿色锁！