[英]NGINX Ingress controller, SSL and optional_no_ca
我已经从 name.com 获得了证书。
➜ tree .
.
├── ca.crt
├── vpk.crt
├── vpk.csr
└── vpk.key
我是如何创造秘密的
我在 vpk.crt 文件的末尾添加了 ca.crt 内容。
(⎈ | vpk-dev-eks:argocd)
➜ k create secret tls tls-secret --cert=vpk.crt --key=vpk.key --dry-run -o yaml | kubectl apply -f -
(⎈ | vpk-dev-eks:argocd)
➜ kubectl create secret generic ca-secret --from-file=ca.crt=ca.crt --dry-run -o yaml | kubectl apply -f -
这是我的入口:
apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
name: websockets-ingress
namespace: development
annotations:
kubernetes.io/ingress.class: "nginx"
nginx.ingress.kubernetes.io/proxy-send-timeout: "3600"
nginx.ingress.kubernetes.io/proxy-read-timeout: "3600"
# Enable client certificate authentication
nginx.ingress.kubernetes.io/auth-tls-verify-client: "optional_no_ca"
# Create the secret containing the trusted ca certificates
nginx.ingress.kubernetes.io/auth-tls-secret: "development/ca-secret"
# Specify the verification depth in the client certificates chain
nginx.ingress.kubernetes.io/auth-tls-verify-depth: "1"
# Specify if certificates are passed to upstream server
nginx.ingress.kubernetes.io/auth-tls-pass-certificate-to-upstream: "true"
argocd.argoproj.io/sync-wave: "10"
spec:
tls:
- hosts:
- backend-dev.project.com
secretName: tls-secret
rules:
- host: backend-dev.project.com
http:
paths:
- path: /ws/
backend:
serviceName: websockets-service
servicePort: 443
证书经过正确验证,我可以通过各种 CLI WebSocket 客户端进行连接,并且https://www.ssllabs.com/ssltest给了我“A+”
但是,如果我设置
nginx.ingress.kubernetes.io/auth-tls-verify-client: "on"
然后一切都停止工作,我在 nginx 入口控制器端(POD 日志)收到 400 错误。
我对官方文档感到困惑:
optional_no_ca 参数(1.3.8、1.2.5)请求客户端证书,但不要求它由受信任的 CA 证书签名。 这适用于 nginx 外部服务执行实际证书验证的情况。 证书的内容可通过 $ssl_client_cert 变量访问。
Optional_no_ca执行可选的客户端证书验证,并且当客户端证书不是来自auth-tls-secret的 CA 签名时,它不会使请求失败。 即使指定了 optional_no_ca 参数,也需要提供客户端证书。 如文档1中所述,当服务在 Nginx 外部时,会进行实际的证书验证。
当您设置nginx.ingress.kubernetes.io/auth-tls-verify-client:on 时,它会请求一个客户端证书,该证书必须由包含在nginx指定的密钥的密钥ca.crt中的证书签名。 ingress.kubernetes.io/auth-tls-secret: secretName 。
如果不是这样,则证书验证将失败并导致状态代码 400(错误请求)。 检查此以获取更多信息。
Nginx controller 客户端身份验证 optional_no_ca 不起作用
[英]Nginx controller Client Authentication optional_no_ca not working
NGINX 为 auth-tls-verify-client = optional_no_ca 完成了哪些客户端证书身份验证验证
[英]Which client certificate auth validations are done by NGINX for auth-tls-verify-client = optional_no_ca
具有NGINX入口控制器和SSL终止的AWS上的Kubernetes
[英]Kubernetes on AWS with NGINX ingress controller and SSL termination
Kubernetes 内部 nginx 入口 controller 带 ZEA52C36203C5F99C22CE2442Dssl-ZB1 端接
[英]Kubernetes internal nginx ingress controller with SSL termination & ssl-passthrough
如何在 NGINX Ingress Controller 中配置 ssl_prefer_server_ciphers?
[英]How to configure ssl_prefer_server_ciphers in NGINX Ingress Controller?
Openshift 上的 SSL/TLS 直通 NGINX-Ingress-Controller 不工作
[英]SSL/TLS passthrough NGINX-Ingress-Controller on Openshift Not Working
nginx ingress - 使用完整中间链CA证书生成SSL证书时出现意外错误:证书无效
[英]nginx ingress - unexpected error generating SSL certificate with full intermediate chain CA certs: Invalid certificate
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.