При проверке выпуска сертификата

kubectl describe challenge letsencrypt-4admin-space-3431336376-165597582-1790087113
в логе указана ошибка

Error: 6003: Invalid request headers<- 6103: Invalid format for X-Auth-Key header

Решение в ClusterIssuer и Issuer в  разделе spec.solvers.dns01 использовать apiTokenSecretRef вместо apiKeySecretRef

Сниппеты настройки cert-manager с Cloudflare

1. Создаем secret c api-токеном Cloudflare (User Profile > API Tokens > API Tokens) в namespace cert-manager:

apiVersion: v1
data:
  api-key: KEY_ON_BASE64
kind: Secret
metadata:
  name: cloudflare-api-key-secret
  namespace: cert-manager
type: Opaque

2. Для выпуска сертификата запустим следующий манифест

apiVersion: cert-manager.io/v1alpha2
kind: ClusterIssuer
metadata:
  name: letsencrypt-4admin-space
spec:
  acme:
    email: EMAIL_FOR_LETSENCRYPT
    server: https://acme-v02.api.letsencrypt.org/directory
    privateKeySecretRef:
      name: letsencrypt-4admin-space
    solvers:
      - selector: {}
        dns01:
          cloudflare:
            email: CLOUDFLARE_EMAIL
            apiTokenSecretRef:
              name: cloudflare-api-key-secret
              key: api-key

3. Сертификат

apiVersion: cert-manager.io/v1alpha2
kind: Certificate
metadata:
  name: 4admin-space
  namespace: default
spec:
  secretName: 4admin-space-tls
  issuerRef:
    name: letsencrypt-4admin-space
    kind: ClusterIssuer
  commonName: "*.4admin.space"
  dnsNames:
    - 4admin.space
    - "*.4admin.space"

3. nginx-ingress

Дебаг проблем с выпусом сертификата в оф документации

На одном из зарубежных сайтов нашел интересный и простой способ защиты от брутфорса wp-login.php в WordPress с помощью всего лишь CloudFlare .  Краткий перевод и инструкция к действию представлена далееCloudFlare - является мощным и условно-бесплатным сервисом CDN, также предоставляющим защиту и от DDoS-атак с помощью фильтрации трафика. Конечно бесплатный сервис несколько ограничен и полные возможности можно "вкусить" только заказав платные подписки или оплатив некоторые опции, но для большинства рядовых пользователей бесплатного функционала хватает с лихвой. С помощью этой сиситемы мы и произведем защиту сайта от атак на  wp-login.php. Ну что ж, приступим.

1. Перейдем или зарегистрируемся в системе CloudFlare
2. Проверим включена ли фильтрация трафика для А-записи домена в разделе DNS, и если ее нет, то настраиваем (создаем записи в DNS,   изменяем NS-записи у регистратора)
3. Переходим в раздел Page Rules
4. Далее создаем правило (бесплатно предоставляется возможность создать всего 3 правила):

• в качестве ссылки указываем http://domain.name/wp-login.php* или https://domain.name/wp-login.php* , где domain.name имя Вашего домена. Лично я добавил правило как по http, так и по https, т.к. ломятся везде.
• В опциях выбираем:Browser Integry Check -> On Security Level -> I'm Under Attack
• Далее -> Save and Deploy

Вот и все, все запросы, которые приходят на URL wp-login.php будут предварительно проверяться. Оригинал статьи https://guides.wp-bullet.com/block-wp-login-brute-force-attacks-with-cloudflare-page-rule/