【云原生学习笔记】关于集群内访问https服务的证书报错记录

最新推荐文章于 2024-07-17 09:44:03 发布
最新推荐文章于 2024-07-17 09:44:03 发布
阅读量1.6k 收藏
点赞数 1
分类专栏: 云原生学习笔记 文章标签: https 云原生 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66978024/article/details/123023559
版权
本文记录了一次在K8s集群中遇到的HTTPS服务证书校验问题。当应用A尝试访问应用B的HTTPS服务时,如果开启证书校验则会失败,而关闭校验则访问成功。问题根源在于证书未包含用于集群内部域名的签名。解决方案是通过重新制作证书,将使用的域名添加到OpenSSL的[alt_names]模块中,确保证书包含了所有必要的域名和IP。
摘要由CSDN通过智能技术生成

项目场景:


前两天在k8s集群中开发时,遇到了个问题,特意记录一下。背景如下:
集群中部署了多个应用,应用B提供了https服务,从应用A内通过请求访问应用B提供的服务,不能跳过证书校验。

问题描述:


请求访问应用B的https服务时,集群内部之间的访问使用的是k8s提供的集群内部域名进行访问:即服务名.命名空间,设置跳过证书校验则访问成功,设置开启证书校验时就访问失败。将应用B提供的服务对外端口开始(即NodePort模式),之后再次设置证书校验并使用IP地址进行访问,能访问成功。
访问失败时的报错大致如下:

..."https://aaa.bbb:xxx/": x509: certificate is valid for localhost, ..., not aaa.bbb

原因分析:


其实报错信息已经说明了。证书对我所使用的域名无效,仅对列出的几个有效,奈何自己对证书相关方面不太理解,知道意思也不知道如何去修改,网上查了下相似报错,都不一样。后面通过请假大佬再加上学习证书相关的知识,总算是弄明白了。

证书包含:公钥+申请者与颁发者的相关信息+签名

这里的签名就是要提供服务的网站的签名,出现该问题的原因就是当前证书没有被使用的域名进行签名,通过IP能访问也是因为证书使用本机ip进行了前面,一个证书可以绑定上多个域名。前面时还能使用通配符“*”。

解决方案:

综上,解决方法就很清楚了:重新制作证书,将使用的域名添加到 “[alt_names]要签发的域名/ip”列表中。有篇关于使用OpenSSL生成签发多域名证书的教程可以解决该问题。
关键步骤在于:修改openssl配置文件时,增加[alt_names]模块后,要在[alt_names]模块下将使用的域名和IP填写上去。

二次元的夜猫子
关注
专栏目录
k8s访问dashboard报错
分享式获得也是一种学习的态度
12-19 799
每个人都有惰性,但不断学习是好好生活的根本,共勉!
K8S集群节点加入报错:error execution phase preflight: couldn‘t validate the identity of the API Server: could
分享式获得也是一种学习的态度
12-11 2346
每个人都有惰性,但不断学习是好好生活的根本,共勉!
K8S 巨坑之 nodes/集群内部 无法访问ClusterIp
shelutai的博客
01-28 1万+
[root@master yaml]# kubectl get svc,pods -o wide NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE SELECTOR service/db NodePort 10.105.233.179 <none> 3306:31306/T
k8s配置https和域名后,出现mix content无法访问http报错
qq_32070399的博客
11-29 540
背景:一堆http应用运行在k8s docker里,在k8s ingress中配置正式证书及域名后,在浏览器中访问https://域名/项目名正常,但是经过ingress-nginx转发到容器后(其实容器收到的还是http请求),被应用解析为http请求返回,出现mix content报错。 (41条消息) 自定义K8S nginx ingress 重定向配置_austindev的博客-CSDN博客 参考此博客,在ingress-nginx 设置 nginx.ingress.kubernetes.io
nvm安装node报错
最新发布
m0_52769924的博客
07-17 670
cmd以管理员身份重新输入命令,安装成功。打开nvm安装路径下的文件。原因:更换淘宝镜像地址。最后两行的地址替换成。
k8s nginx ingress 显示证书错误
lyf0327的博客
01-13 1934
问题:ingress-controller会报错,error obtaining PEM from secret kube-system/kubernetes-dashboard-certs: no keypair or CA cert could be found in kube-system/kubernetes-dashboard-certs 分析:nginx-ingress代理k8s的da...
解决k8s仪表盘无法打开https的下一步
qq_21277357的博客
11-25 459
https://leif.fun/articles/2020/06/08/1591598117843.html
K8s 安装可视化dashboard, 并授权登录,(附跳过chrome https证书验证)
李昊轩的博客
03-30 1577
不多说, 直接apply 下面文件 kubectl apply -f dashboard.yaml # Copyright 2017 The Kubernetes Authors. # # Licensed under the Apache License, Version 2.0 (the "License"); # you may not use this file except in compliance with the License. # You may obtain a copy of t
二进制部署高可用Kubernetes集群 (成功) 看报错
m0_59267075的博客
05-17 1891
序号名字功能VMNET 1备注 + 1备注 + 2备注 +3备注 + 4备注 +50orgin界面haproxykeepalived1仓库yum 仓库registoryhaproxykeepalived2master01H-K8S-1kube-apicontrollerscheduleretcd3master02H-K8S-2kube-apicontrollerscheduleretcd4master03H-K8S-3。
[SpringCloud Alibaba学习笔记]服务注册与配置中心Nacos的入门及集群使用(配置+实操全步骤,基于阿里云&nacos1.3.0)
叶落雨飘的博客
07-01 2242
SpringCloud Alibaba 服务注册与配置中心Nacos的入门及使用 一、Nacos简介 Nacos中文文档 Nacos:一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。 简而言之就是注册中心+配置中心的组合,功能实现等于Eureka+Config+Bus 1.下载 下载地址 官网会是在github上,下载根本下不动.这里直接去码云上下载 https://gitee.com/mirrors/Nacos.git 使用GIt软件克隆该项目 git bash clone https:/
学习笔记--Docker集群Swarm(搭建篇)
weixin_42112071的博客
03-16 1338
博客用与记录个人学习过程中遇到的一些问题,已方便其他朋友遇到相关问题时查阅。若有表述不当之处还望见谅。 搭建 首先最好是需要准备2台以上的设备 第一步 我们在manage主机上开始初始化swarm: docker swarm init 注意:系统默认会开启2377端口以作各个节点与主机之间的交互。所以所有节点以及主机都得开启2377端口。 输入一下代码以验证是否启动swarm docker in...
HTTPS双向认证
Starr
02-28 7132
文章目录双向认证服务端客户端(问题残留) 双向认证 C/S两端分别生成密钥对,交换公钥,基于公钥验证另一端。 第一步,创建密钥对,把公钥存储为自签名、PEM编码的证书。用openssl即可,这里以一个HTTPS服务端为例: openssl req -nodes -x509 -newkey rsa:4096 -keyout serverKey.pem -out serverCrt.pem -days 365 serverKey.pem包含服务器的私钥,需要保护;serverCrt.pem包含服务器的公钥,用
Unable to connect to the server: x509: certificate is valid for问题解决
DANTE54的博客
04-03 4万+
关于外网设备访问一个advertise-address为内网IP的内网构建的kubernetes集群的问题问题描述问题原因解决方案 问题描述 将构建于内网网络环境上的kubernetes集群的/etc/kubernetes/admin.conf文件拷贝到外网的一台装有kubernetes客户端的设备上,文件内容放到外网设备的~/.kube/config文件中 然后修改config文件中的serv...
verify certificate: x509: certificate relies on legacy Common Name field, use SANs instead
热门推荐
weixin_46660849的博客
11-14 6万+
使用自签名的ssl证书遇到如下问题: tls: failed to verify certificate: x509: certificate relies on legacy Common Name field, use SANs instead
登录harbor时的SSL异常: x509: certificate is valid for ingress.local
JosephThatwho的博客
01-17 5541
背景 之前搭建了一套内网环境的harbor,绑定了一个harbor.test.com的域名。现在因为工作需要,给这个harbor服务绑定了一个公网域名,并且申请了SSL证书,在调整完docker-compose中harbor.yml以及docker-compose.yml文件内的证书后,可以通过浏览器访问,并且显示SSL握手成功。 但是通过docker命令行登录时,却抛出如下异常: Error response from daemon: Get "https://harbor.oulaoula.com/v2
docker拉去镜像报错x509: certificate is valid for *.api-test.cfadevelop.com, *.app-test.cfadevelop.com,
qq_36852840的博客
04-21 1950
大概率是因为docker的daemon.json中为配置国内镜像源的原因。在/etc/docker/daemon.json中新增国内镜像源。
tls: failed to verify client's certificate: x509: certificate has expired or is not yet valid
min19900718的博客
08-06 1万+
生成证书后,立即使用,报以上错误,原因是生成证书的机器时间要比服务器时间快,导致服务器验证时,证书超出了时间使用范围。 解决办法: 1、服务器和生成证书机器进行时间同步更新 2、或者直接调整生成证书的机器时间,小于服务器的时间 ...
Error response from daemon: Get “https://registry-1.docker.io/v2/“: tls: failed to verify certificat
骜蛟的博客
06-11 3169
在网上找了很多,都没找到类似的错误。一般都是连接时间超时,要换源。后来我想了想,在主机上没有验证校园网登录,网络ping不通。
x509问题
m0_64558520的博客
06-26 953
公司的开发机证书不全,在进行https请求时,会出现ssl校验失败的情况,对应的报错x509: certificate signed by unknown authority。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值