双证书签发-k8s ingress

于 2023-05-15 15:05:57 发布
阅读量192 收藏
点赞数
文章标签: ssl https 服务器 ingress
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/senlin1202/article/details/130684768
版权
本文详细介绍了如何使用OpenSSL命令行工具创建自签名的CA根证书,以及如何用此根证书签发服务器和客户端证书。此外,还提到了Nginx的SSL配置示例以及在Kubernetes环境中如何注入证书到应用中。
摘要由CSDN通过智能技术生成

经过实际测试

CA 根证书制作

创建 CA 私钥
openssl genrsa -out ca.key 2048#制作 CA 根证书(公钥)
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt

注意:
CA 证书中的 Common Name 不能与 server 和 client 证书中的 Common Name 相同

在创建证书请求文件的时候需要注意三点,下面生成服务器请求文件和客户端请求文件均要注意这三点:

(1) 根证书的Common Name填写root就可以

(2) 所有客户端和服务器端的证书这个字段需要填写域名;

(3) 一定要注意的是,根证书的这个字段和客户端证书、服务器端证书不能一样;

其他所有字段的填写,根证书、服务器端证书、客户端证书需保持一致最后的密码可以直接回车跳过。

经过上面三个命令行,我们最终可以得到一个签名有效期为10年的根证书root.crt,后面我们可以用这个根证书去颁发服务器证书和客户端证书。

制作证书

创建私钥
openssl genrsa -out server.pem 1024
openssl rsa -in server.pem -out server.key

生成签发请求
openssl req -new -key server.pem -out server.csr

使用 CA 证书进行签发
openssl x509 -req -sha256 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650 -out server.crt

验证签发证书是否正确
openssl verify -CAfile ca.crt server.crt

制作 p12 证书(导入浏览器)
openssl pkcs12 -export -clcerts -in server.crt -inkey server.key -outserver.p12

客户端证书创建方式与服务器证书创建方式相同

nginx 配置

Nginx
ssl on;
ssl_certificate ssl/server.crt;
ssl_certificate_key ssl/server.key;
ssl_client_certificate ssl/ca.crt;
ssl_verify_client on;

使用

Nginx
curl --key client.key --cert client.crt -XGET "https://localhost:11443" -k -v

客户端证书

SQL
创建私钥
openssl genrsa -out client.pem 1024
openssl rsa -in client.pem -out client.key

# 生成签发请求
openssl req -new -key client.pem -out client.csr

# 使用 CA 证书进行签发
openssl x509 -req -sha256 -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650 -out client.crt

# 验证签发证书是否正确
openssl verify -CAfile ca.crt client.crt

Plain Text
k8s 生产注入证书example

kubectl create secret generic ca-secret --from-file=ca.crt=ca.crt
kubectl create secret generic tls-secret --from-file=tls.crt=server.crt --from-file=tls.key=server.key
 

senlin1202
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
K8S应用笔记 —— 签发自签名证书用于Ingresshttps配置
gmHappy
08-18 3万+
在本地签发自命名证书,用于`K8S`集群的`Ingress`的https配置。
openssl创建CA证书教程
justlpf的专栏
09-21 3729
修改 nginx.conf 配置,增加监听 443 端口的,跳转到harbor的8443端口,此外在这里需要指定证书文件的路径。然后备份原有的nginx 命令,并将新编译的nginx拷贝的nginx命令所在的目录。然后使用 make 编译,注意,不要使用 make install,否则会覆盖。说明 nginx 没有安装ssl,此时进入nginx的源码目录,执行如下命令。:修改alt_names里面的域名或者IP为最终部署需要的地址,文件拷贝到docker的证书目录下,注意替换为自己的域名。
【Linux云计算架构:第三阶段-Linux高级运维架构】第18章——CA认证过程及https实现方法
就叫一片白纸的博客
07-21 820
本节内容: 18.1 CA认证流程 18.1 实战:搭建CA认证中心 18.1 实战:使用证书搭建https 实验环境: CA认证中心服务端:xuegod63.cn IP:192.168.1.63 客户端:xuegod64.cn IP:192.168.1.64 本节所使用实验环境:RHEL 7 (如有使用RHEL 6,会特别注明) CA:Certificate Authority的缩写,...
创建CA和申请证书
weixin_34290096的博客
09-01 964
一、CA的作用 CACatificate Authority,它的作用就是提供证书(即服务器证书,由域名、公司信息、序列号和签名信息组成)加强服务端和客户端之间信息交互的安全性,以及证书运维相关服务。任何个体/组织都可以扮演 CA 的角色,只不过难以得到客户端的信任。方通信,需要通过签证机构CA颁发证书才可以相互信任,安全的进行数据通信,除了收费的认证机构的证书,还可...
SSL/TLS(3): CA证书解释
猪哥的专栏
03-28 2186
SSL/TLS(1):基本概念通俗解释 SSL/TLS (2):通俗解释SSL/TLS为什么安全 前言 在前面的文章中,我们分析了SSL/TLS的一些基本概念和为什么他们安全,尤其提到了公钥和私钥的概念,还有一个很重要的文件,就是CA证书,关于CA证书的官方解释,可以参考百科的解释,这里我们可以简单的认为,CA证书是一个网站的 二维码,这个二维码包括了服务器的一些信息,比如服务器所在的组织、支持的加密算法,还有更重要的公钥信息。 X.509 我们在使用mbedtls时,会发现有X.509的名称,在其他地方也
citrix-k8s-ingress-controller:适用于Kubernetes的Citrix ADC(NetScaler)入口控制器:
02-03
"citrix-k8s-ingress-controller"是Citrix为Kubernetes设计的专用入口控制器,它将Citrix ADC的强大功能集成到Kubernetes生态系统中,以实现更高效、安全的流量管理。 1. **Kubernetes Ingress**: Kubernetes ...
apisix-ingress-controller:K8的入口控制器
04-01
适用于Kubernetes的Apache APISIX 使用进行Kubernetes 。...使用具有最小学习曲线的k8s yaml结构,对具有自定义资源定义(CRD)的Apache APISIX进行声明式配置。 适用于Yaml期间的热重装。 本机Ku
k8s-ingress.zip
03-14
k8s 相应的ingress yaml 文件,包含 configmap.yaml,default-backend.yaml,mandatory.yaml,rbac.yaml,without-rbac,tcp-service,udp-service.
ingress-nginx.tar离线安装包,适用k8s版本 1.25.x~1.28.x
最新发布
05-22
ingress-nginx.tar离线安装包,适用k8s版本 1.25.x~1.28.x
k8s-ingress
06-24
ingress 离线镜像包
细说 CA证书
热门推荐
skykingf的专栏
05-03 3万+
转自 https://linux.cn/article-7289-1.html CACatificate Authority,它的作用就是提供证书(即服务器证书,由域名、公司信息、序列号和签名信息组成)加强服务端和客户端之间信息交互的安全性,以及证书运维相关服务。任何个体/组织都可以扮演 CA 的角色,只不过难以得到客户端的信任,能够受浏览器默认信任的 CA 大厂商有很多
SSL应用系列之二:CA证书颁发机构(中心)安装图文详解
chen88358323的专栏
05-02 3539
tag: windows server 2003 ca ssl 原文传送门  上一节中,我们讨论过有关CA作用及安装,本节我会通过给一个web站点设置SSL加密访问,来加深对CA的理解。   通过阅读本文,你将了解到以下内容 ◆如何通俗化理解SSL ◆演示2种为web网页申请安全证书的方法 ◆通过实例理解Common  Name名称的作用 ◆
Openssl编程获取证书common name
auvKone
05-20 5053
Talk is cheap, show me the code!#include <stdio.h> #include <stdlib.h> #include <assert.h> #include <openssl/bio.h> #include <openssl/x509v3.h>int main(int argc, char **argv) { char cn[256] = "";
什么是公用名Common Name
lz7955823的专栏
10-17 1万+
公用名Common Name 本文转自[记录无限:www.gluoo.cn]. 公用名(Common Name)一般来讲就是写你将要申请SSL证书的域名 (domain)或子域名(sub domain)。   例1:打算为“chinassl.net”申请SSL证 书,那这个公用名(Common Name)就要写“chinassl.net”,而不能写 “www.ch
PKI证书机制及其产生过程
Aragorn_XH的博客
05-30 9119
以下内容参考了网上的部分帖子,结合个人理解,整理而成
证书证书签发流程
HI,我是小瑞!
08-19 8342
1. 单证书签发 1) 用户写信息注册(或者由RA的业务操作员注册用户)。 2) 用户信息传递到RA。 3) RA审核通过 4) 用户请求发证 5) RA审核通过 6) 用户签发证书请求。 7) RA把用户信息传递到CA。 8) CA到KMC中取密钥对,(密钥对由加密机生成,生成的密钥对)。 9) CA把用户信息和从KMC中取到的公钥制作成证书。 10) CA用自己的私钥给用户证书签名。 11
CA证书签发与认证
buran的博客
03-19 1833
【实验目的及要求】 实验目的: 学会签发CA证书,使用根CA证书签发下级证书。 实验要求: 利用OpenSSL提供的命令行工具实现: 生成根CA密钥对、生成自签名的根CA证书; 生成普通个人用户的密钥对,并生成证书请求; 以CA管理员的角色,给上一步生成的证书请求签发个人证书。 【实验环境】 Linux 内核2.6及以上,安装有OpenSSL。 【实验过程】 1)环境准备 1、首先检查系统是否安装openssl,命令行中输入命令 openssl version 如图在命令行中,输出了OpenSSL
实现https向认证,并去除commonName的校验
vince's blog JAVA学习总结
12-03 4029
最近在做一个https向认证的工作,领导先让我实现,我之前写了一篇文章,把tomcat的生成证书和配置的实现写了出来。 现在领导给了我服务器CA证书的客户端证书和私钥,服务端信任证书,分别是crt和pem格式的文件, 试了很多方法,才把这个搞通,由于不同的平台,证书格式和版本差异很大,包括文本证书和二进制证书文件。 通过openSSL 很容易把证书转换出来,现有L
CA证书踩得坑
涛涛之海
04-19 1701
CA证书 什么是证书? 英文叫 “pubilci key certificate”,可以简单理解成 公章,公司自己的公章就是为了证明自己是真实的,如果有人伪造怎么办?毕竟骗子还是挺多的。 什么是CA? 英文名叫“Certificate Authority” 的缩写,也叫“证书授权中心”。可以理解成权威机构,没有人可以伪造权威机构的证书。 什么是CA证书? 就是CA颁发的证书,具有权威性,大家都认可和相信。 如何看CA证书? 坑一:配置server.xml (PFX证书的) <Connecto
k8s ingress-nginx 详解
10-08
Kubernetes Ingress-Nginx是一个在Kubernetes集群中使用的开源Ingress控制器。它允许将外部流量引导到Kubernetes集群内部的服务。下面是它的一些主要特点和详解: 1. 灵活性:Ingress-Nginx支持多种配置方式,包括...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值