istio - 将现有 CA 插入 Istio 时的 CSR
问题描述
我正在查看“将现有 CA 插入”到我的 Istio 环境中,如此处所述:
https://istio.io/pt-br/docs/tasks/security/citadel-config/plugin-ca-cert/
我可以看到以下命令允许您将密钥、证书和链存储到 Kubernetes 机密,但是它似乎没有提供创建 CSR 的选项。显然,这还涉及首先生成私钥。
这是正确的,还是可以选择这样做?
$ kubectl create secret generic cacerts -n istio-system --from-file=samples/certs/ca-cert.pem \
--from-file=samples/certs/ca-key.pem --from-file=samples/certs/root-cert.pem \
--from-file=samples/certs/cert-chain.pem
解决方案
您列出的命令允许您secret
在 Kubernetes 中为CA
证书、密钥、链等创建一个对象。部署和服务可以使用这些对象以供使用。因此,文档中的假设是您已经有一个可供使用的证书。
我建议遵循整个 istio SDS 安全网关配置指南。
要生成私钥并CSR
使用OpenSSL
以下istio文档指南:
对于此任务,您可以使用您喜欢的工具来生成证书和密钥。以下命令使用 openssl 创建根证书和私钥来为您的服务签署证书:
$ openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -subj '/O=example Inc./CN=example.com' -keyout example.com.key -out example.com.crt
为 httpbin.example.com 创建证书和私钥:
$ openssl req -out httpbin.example.com.csr -newkey rsa:2048 -nodes -keyout httpbin.example.com.key -subj "/CN=httpbin.example.com/O=httpbin organization" $ openssl x509 -req -days 365 -CA example.com.crt -CAkey example.com.key -set_serial 0 -in httpbin.example.com.csr -out httpbin.example.com.crt
来自 istio 文档的其他信息: https ://istio.io/docs/concepts/security/#pki
希望能帮助到你。
推荐阅读
- java - Micronaut 中的读取超时异常
- android - Pixel 和 Nexus 手机上的 Android 布局混乱
- javascript - 针对 javascript 中的多种格式验证日期
- tensorflow-lite - TensorFlow Lite 模型能否用于 Windows 10 上的推理?
- azure-cosmosdb - Azure Cosmos SQL - 使用嵌套数组并使用 LIKE 关键字
- terminal - 带有 Windows 终端限制的 Azure Cloud Shell?
- sql - 具有多个左连接的查询需要很长时间才能运行
- javascript - 在 JavaScript 中使用 include() 访问对象的数据
- r - 如何修复 ggplot() 中丢失的对象/变量
- android - 当用户更换手机并重新安装 Google Account All App 时,是否会传输 AsyncStorage 数据?