库伯内特斯:身份验证客户端独立于TLS工作吗?
在库伯内特斯,要启用客户端证书AuthN,注释nginx.ingress.kubernetes.io/auth-tls-verify-client可以在入口中使用。即使我不在该入口中执行TLS终止,客户端证书AuthN是否仍然有效?例如,在这个入口中,如果我从入口中删除tls块,客户端证书AuthN是否仍然有效?
tls:
- hosts:
- mydomain.com
secretName: tls-secret
(更多信息:我有两个入口用于同一主机,一个具有TLS部分,另一个入口具有特定api路径的规则,并且具有客户端证书部分,但没有TLS部分)。
此外,如果请求是在http(而不是https)endpoint上发送的,我观察到即使注释值设置为on,客户端证书也会被忽略。这是记录在案的行为吗?
共有1个答案
如果您按照描述定义了两个入口,那么将需要一个证书,除非您将auth-tls-verfy-Client指定为可选。请参阅注释中提到的留档。
此外,如果要进行客户端证书身份验证,则需要TLS。客户端证书在TLS握手期间使用,这就是为什么为一个入口指定客户端证书适用于主机相同的所有入口(例如www.example.com)
-
filter.network.ClientSSLAuth TLS客户端身份认证配置概述 filter.network.ClientSSLAuth filter.network.ClientSSLAuth proto { "auth_api_cluster": "...", "stat_prefix": "...", "refresh_delay": "{...}", "ip_whi
-
TLS客户端身份认证配置参考。 { "name": "client_ssl_auth", "config": { "auth_api_cluster": "...", "stat_prefix": "...", "refresh_delay_ms": "...", "ip_white_list": [] } } auth_api_cluster (re
-
客户端TLS认证过滤器架构概述 v1 API 参考 v2 API 参考 统计 每个配置的TLS客户端身份验证过滤器统计信息均以auth.clientssl.<stat_prefix>为根。 统计如下: 名称 类型 描述 update_success Counter 身份更新成功总数 update_failure Counter 身份更新失败总数 auth_no_ssl Counter 由于没有TL
-
据我所知,作业对象应该在一定时间后收获豆荚。但是在我的GKE集群(库伯内特斯1.1.8)上,“kubectl get pods-a”似乎可以列出几天前的豆荚。 所有这些都是使用乔布斯API创建的。 我确实注意到在使用 kubectl 删除作业后,pod 也被删除了。 我在这里主要担心的是,我将在批量作业中在集群上运行成千上万个pod,并且不想让内部待办系统过载。
-
我不熟悉SSL和证书。我一直在做关于客户端证书认证的研究。我看过这个和wiki。 因此,如果我必须为我的B2B REST服务实现客户端证书身份验证解决方案,我应该执行以下操作 要求客户端生成自己的私钥,并为其公钥生成证书(CA 颁发?)。通过电子邮件或 USB 闪存盘发送该证书。 在服务器端将客户端的公共证书导入信任存储区并启用客户端身份验证 在握手期间,客户端会出示其证书并进行身份验证,因为服务
-
授权服务器为进行客户端身份验证的目的,为Web应用客户端创建客户端凭据。授权服务器被鼓励考虑比客户端密码更强的客户端身份验证手段。Web应用程序客户端必须确保客户端密码和其他客户端凭据的机密性。 授权不得向本地应用程序或基于用户代理的应用客户端颁发客户端密码或其他客户端凭据用于客户端验证目的。授权服务器可以颁发客户端密码或其他凭据给专门的设备上特定安装的本地应用程序客户端。 当客户端身份验证不可用