所有浏览器都不信任 SSL 证书

【问题标题】:SSL Cert Not Trusted By All Browsers所有浏览器都不信任 SSL 证书
【发布时间】:2019-07-10 13:47:23
【问题描述】:

我们在我们的 aks 实例上安装了来自 DigiCert 的通配符证书,它适用于 IE 和 Chrome,但 Firefox 存在很大的问题,即不信任该站点。当我通过 SSL 检查器运行该站点时,它表明 

The certificate is not trusted in all web browsers. You may need to install an Intermediate/chain certificate to link it to a trusted root certificate.

这些是最初安装证书所遵循的说明:

将 SSL 证书安装到每个命名空间中 从 pfx 文件中导出证书 为此,您将需要 openssl。这是我能找到的在 Windows 10 中安装和使用它的最佳资源。

openssl pkcs12 -in filename.pfx -clcerts -nokeys -out cert.txt

打开 .txt 文件并删除标题(即从 -----BEGIN CERTIFICATE----- 一直到底部)

从 pfx 文件中导出私钥

openssl pkcs12 -in filename.pfx -nocerts -out key.txt

打开 .txt 文件并删除标题(即从 -----BEGIN ENCRYPTED PRIVATE KEY----- 一直到底部)

从私钥中删除密码

openssl rsa -in key.txt -out server.txt

创造秘密 通过azure的cli连接kube,然后运行命令:

az aks get-credentials -g aks-rg -n clustername

将 kube 合并到您的 kubectl cli。

如果您需要删除之前安装的证书,您应该运行以下命令:

kubectl delete secret clustername-tls --namespace dev
kubectl delete secret clustername-tls --namespace test
kubectl delete secret clustername-tls --namespace uat
kubectl delete secret clustername-tls --namespace prod

创建新证书:

kubectl create secret tls clustername-tls --key server.txt --cert cert.txt --namespace dev
kubectl create secret tls clustername-tls --key server.txt --cert cert.txt --namespace test
kubectl create secret tls clustername-tls --key server.txt --cert cert.txt --namespace uat
kubectl create secret tls clustername-tls --key server.txt --cert cert.txt --namespace prod

正确安装中间证书时遗漏了什么?

【问题讨论】:

  • 这没有多大意义,它说明了您如何创建秘密,但没有说明您如何使用它们

标签: azure kubernetes azure-aks


【解决方案1】:

您是否在 ingress 中将此密钥用作 tls-secret。

您必须使用入口控制器实现入口,并且您必须在路径内使用您的秘密。

您可以按照本指南使用 cert-manager 设置 ingress-nginx 控制器。

ingress nginx 将充当负载均衡器并将应用程序公开到互联网。 certmanager 将负责管理 ssl 和 tls 证书。

cert-manager 自动生成 ssl 证书并进行管理。

请关注:https://www.digitalocean.com/community/tutorials/how-to-set-up-an-nginx-ingress-with-cert-manager-on-digitalocean-kubernetes

【讨论】:

  • 只遵循了上面列出的说明,所以我假设没有?这会带来什么?
  • @MarshallTigerus 我已经更新了您可以查看的答案。如果您发现任何问题,请告诉我。
  • @MarshallTigerus 最好先检查入口是否已经设置。
猜你喜欢
  • 1970-01-01
  • 2015-06-17
  • 2018-09-08
  • 1970-01-01
  • 1970-01-01
  • 2016-10-22
  • 2014-01-07
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode