在 Kubernetes 上配置相互身份验证

【问题标题】:Configure Mutual Authentication on Kubernetes在 Kubernetes 上配置相互身份验证
【发布时间】:2020-04-14 11:30:50
【问题描述】:

我正在尝试在 Kubernetes 中实现相互身份验证,我能够创建证书并将其配置到集群中,但是当我从客户端发送证书时出现错误。

那么问题来了

当我创建证书时,我必须提供通用名称。此字段必须包含完全限定的域名。 由于我的域名很长,93个字符,不允许我输入我的域名,

我的疑问是,在生成证书时是否必须在 Common Name 字段中包含完整的域名,或者我们是否有任何解决方法。

TIA

【问题讨论】:

  • 不,我想因为我无法在 CN 字段中提供完整的域名,所以当我从客户端发送证书时,它的抛出错误,所以想确认是否必须拥有完整的域通用名称字段中的名称与否
  • 它不是强制性的...您应该为此使用 SAN

标签: ssl kubernetes mutual-authentication


【解决方案1】:

您可以在 Subject Alternative Name 中提供完全限定域名 (FQDN),而不是通用名称。主题备用名称没有 64 个字符的限制。

一般规则是根据所有 SAN 和公用名检查域。如果在那里找到域,则证书可以连接。

RFC 5280,第 4.1.2.6 节说“主题名称可以在主题字段和/或 subjectAltName 扩展中携带”。这意味着必须根据证书的 SubjectAltName 扩展名和 Subject 属性(即它的公用名参数)检查域名。这两个地方相得益彰,而不是重复。 SubjectAltName 是放置其他名称的合适位置,例如 www.domain.com 或 www2.domain.com

根据RFC 6125,2011 年发布,验证器必须首先检查 SAN,如果 SAN 存在,则不应检查 CN。请注意,RFC 6125 相对较新,仍然存在颁发证书的证书和 CA,其中包括 CN 中的“主”域名和 SAN 中的备用域名。 IE。如果存在 SAN,则通过从验证中排除 CN,您可以拒绝一些其他有效的证书

【讨论】:

    猜你喜欢
    • 2019-01-25
    • 2023-03-05
    • 2014-11-16
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2018-08-07
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode