如何解决Ingress 客户端证书身份验证要求 CA 证书秘密存储?
我想在我的 AKS 群集中启用客户端证书身份验证,但我有一个我似乎不明白的基本问题。根据 docs,ingress 要求将 CA 证书存储在一个秘密中。我的问题是:假设我使用由受信任的 CA 颁发的客户端证书(这就是它的工作原理?CA 颁发他们签名的客户端证书?),为什么受信任的 CA 会给我他们的 CA 证书来存储在 AKS 集群中作为秘密? CA 是否只是将其证书分发给公众?这不是安全问题吗? (因为我可以使用该 CA 证书签署客户端证书)
解决方法
CA 证书 .crt
文件不包含私钥。它只包含公钥+证书信息,该信息是公开的,不能用于签署新证书。您可以安全地将 ca.crt
存储在 Kubernetes Secret 中,它只需要服务器证书的私钥。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。