ingress 双向认证
1、本地生成双向认证证书一、生成ca证书二、这里生成 crt 类型的证书(用户使用)三、生成p12证书文件(不使用密码直接回车)四、在k8s创建secret五、ingress配置扩展:生成私有证书(会提示安全警告)
·
ingress 双向认证
1、本地生成双向认证证书
一、生成ca证书
openssl req -x509 -sha256 -newkey rsa:4096 -keyout ca.key -out ca.crt -days 3560 -nodes -subj '/CN=China'
# CommonName(CN):标识与证书关联的主机名或所有者,这里通常是发行人的名称。
# days 证书有效期
二、这里生成 crt 类型的证书(用户使用)
openssl req -new -newkey rsa:4096 -keyout client.key -out client.csr -nodes -subj '/CN=China Client'
openssl x509 -req -sha256 -days 365 -in client.csr -CA ca.crt -CAkey ca.key -set_serial 02 -out client.crt
# CN 会展示在用户认证的证书页面
三、生成p12证书文件(不使用密码直接回车)
openssl pkcs12 -export -clcerts -inkey client.key -in client.crt -out client.p12 -name "China client"
四、在k8s创建secret
kubectl create secret generic ca-secret --from-file=ca.crt=ca.crt
五、ingress配置
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
annotations:
kubernetes.io/ingress.class: nginx
# 指定url,将验证失败的请求重定向到该url
nginx.ingress.kubernetes.io/auth-tls-error-page: "https://www.baidu.com"
# 是否将证书传递给后端的服务
nginx.ingress.kubernetes.io/auth-tls-pass-certificate-to-upstream: "false"
# 指定root ca 的 secret
nginx.ingress.kubernetes.io/auth-tls-secret: "<namespace>/ca-secret"
# 开启客户端认证
nginx.ingress.kubernetes.io/auth-tls-verify-client: "on"
# 指定验证证书链的深度
nginx.ingress.kubernetes.io/auth-tls-verify-depth: "1"
name: ssl
namespace: default
spec:
rules:
- host: nginx.test.com
http:
paths:
- backend:
serviceName: nginx
servicePort: 80
path: /
tls:
# 这里使用三方的安全证书即可
- hosts:
- test.com
secretName: test-com
扩展:
生成私有证书(会提示安全警告)
# 私有证书
openssl req -new -newkey rsa:4096 -keyout server.key -out server.csr -nodes -subj '/CN=*.holderzone.cn'
openssl x509 -req -sha256 -days 365 -in server.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt
# 创建k8s-secret
kubectl create secret generic tls-secret --from-file=tls.crt=server.crt --from-file=tls.key=server.key
# ingress 配置
tls:
- secretName: tls-secret
用户访问,导入上面生成的p12证书即可。
更多推荐
已为社区贡献40条内容
所有评论(0)