在相互TLS身份验证中吊销SSL证书
我正在尝试为部署在Kubernetes集群中的应用程序启用基于TLS的相互身份验证。
- 希望将对应用程序的访问限制为只有那些具有受信任客户端证书的用户。
- 基于某些情况/条件,我还希望吊销特定用户的证书,以便该用户不再能够使用其证书访问应用程序。
我尝试在kuberentes ingress controller(基于nginx)中设置Mutual TLS,方法是添加以下注释。
nginx.ingress.kubernetes.io/auth-tls-verify-client: "on"
nginx.ingress.kubernetes.io/auth-tls-secret: "ca-cert"
ca-cert是包含用于颁发客户端证书的CA证书的kubernetes秘密。通过这种方式,ingress将根据ca-cert验证作为请求一部分发送的客户端证书。
这对于由ca-cert签名的任何客户端证书都非常有效。我正在尝试为证书吊销过程提供解决方案。需要这方面的建议。
在Ingress中是否可以信任单个客户端证书而不是CA证书?这将帮助我们撤销个别客户证书。
共有1个答案
如果我理解正确,您需要使用Nginx证书吊销列表。应该通过使用标准的Nginx配置(以标准格式创建、添加到文件、从Ingress更新文件)来完成。这里有更多关于这方面的细节/教程。
如果有帮助请告诉我。
-
在不限制客户端证书的情况下,TLS中的相互身份验证有什么用? 以下是我对使用TLS的客户端/相互身份验证的理解。 现在rfc5246表示如下 这不会实现任何身份验证正确吗?例如,如果我有一个服务器信任由世界各地受信任的CA签署的任何证书,那么为什么还要费心于客户端身份验证呢?
-
我正在尝试为相互身份验证设置ActiveMQ,以便客户端需要证书才能将消息传递给代理。我在代理上创建了一个密钥库和一个信任库,并导出了一个复制到客户端的证书。在客户端,我也做了同样的事情,尽管我使用的是NMS,所以我只使用导出的证书,我将其添加到代理的信任库中。我还将证书添加到另一个本地计算机可信根证书中。 代理的配置如下: ${activemq.base}/conf/login.config $
-
我如何使我网络中的服务器和客户端不仅验证信任链,而且尊重某种白名单? 也许这在TLS层上是不可行的,这就是我想澄清的。
-
然而,据我所知,这可能发生在-1时。如果无法访问CRL服务器。2.如果IIS无法访问Internet。 但是CRL分发点地址是可访问的,我可以通过在浏览器中复制粘贴地址来下载CRL。IIS运行良好。 所以还有其他一些我不知道的问题。这里有人能帮我解决这个问题吗。有没有办法从任何本地目录加载CRL?
-
我已经在Netty中尝试了双向SSL身份验证 但这个例子不再显示任何信息,只是一个404未找到。我在这里找到了一些帮助: https://github.com/code4craft/netty-learning/blob/master/netty-3.7/src/main/java/org/jboss/netty/example/securechat/SecureChatSslContextFac
-
我正在尝试在两个LAMP服务器之间进行相互ssl身份验证。 我实际上有3台服务器。一个是主服务器,另外两个是对其进行SOAP调用的客户端。 在主客户端和一个客户端上,我安装了Comodo Postive SSL证书。我可以从该客户端连接到主客户端并成功进行SSL身份验证。 在第二个客户端上,我安装了一个Lets加密证书。我从他们的网站上获得了根证书(并使用https://whatsmychainc