【问题标题】:Kubernetes: Does auth-tls-verify-client work independent of TLS?Kubernetes:auth-tls-verify-client 是否独立于 TLS 工作?
【发布时间】:2021-08-02 11:56:26
【问题描述】:

在 Kubernetes 中,要启用 client-certificate authN,可以在 ingress 中使用注解 nginx.ingress.kubernetes.io/auth-tls-verify-client。即使我不在该入口处进行 TLS 终止,客户端证书身份验证是否也能正常工作?例如,在这个ingress 中,如果我从入口中删除 tls 块,client-cert authN 是否仍然有效?

tls:
  - hosts:
    - mydomain.com
    secretName: tls-secret

(更多信息:我有两个用于同一主机的入口,一个具有 TLS 部分,另一个具有特定 api-path 的规则,并且具有客户端证书部分但没有 TLS 部分)。

另外,如果请求是在http 端点(不是https)上发送的,我观察到即使注释值设置为on,客户端证书也会被忽略。这是记录在案的行为吗?

【问题讨论】:

  • 你好@sg1993,你有哪个版本的Kubernetes,你是如何部署的?您还有其他关于忽略annotation nginx.ingress.kubernetes.io/auth-tls-verify-client: on 的信息吗?它记录在 here 例如,在 Cloudflare 中无法使用带有客户端身份验证的 TLS。

标签: kubernetes kubernetes-ingress client-certificates


【解决方案1】:

如果您按照描述定义两个入口,则需要证书,除非您将 auth-tls-verify-client 指定为可选。请参阅 cmets 中提到的文档。

如果要进行客户端证书身份验证,还需要 TLS。客户端证书在 TLS 握手期间使用,这就是为什么为一个入口指定客户端证书适用于所有主机相同的地方(例如 www.example.com

【讨论】:

    猜你喜欢
    • 2018-10-02
    • 2015-07-02
    • 1970-01-01
    • 2023-01-27
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2011-06-09
    相关资源
    最近更新 更多