kubernetes-ingress - 入口客户端证书身份验证需要秘密存储 CA 证书吗?
问题描述
我想在我的 AKS 群集中启用客户端证书身份验证,我有一个我似乎不明白的基本问题。根据文档,入口要求将 CA 证书存储在机密中。我的问题是:假设我使用由受信任的 CA 颁发的客户端证书(这就是正确的工作方式?CA 颁发他们签署的客户端证书?),为什么受信任的 CA 会给我他们的 CA 证书以进行存储在 AKS 群集中作为秘密?CA 是否只是将其证书分发给公众?这不是安全问题吗?(因为我可以使用该 CA 证书签署客户端证书)
解决方案
CA 证书.crt
文件不包含私钥。它只包含公钥+证书信息,是公开的,不能用来签署新的证书。您可以安全地将其存储ca.crt
在 Kubernetes Secret 中,它只需要服务器证书的私钥。
推荐阅读
- mysql - 如何将sql查询转换为codeigniter查询
- android - 将角半径添加到六边形
- r - 在R中向上添加一行
- java - spring boot“Whitelabel 错误页面”没有可用的消息
- postgresql - 设置 Cygnus-PostgreSQL 以实现历史数据持久性
- google-chrome - 无法使用 PouchDB 将本地 IndexedDB 复制到远程 CouchDB
- java - SIMples Java Multiplex 聊天服务器
- javascript - 如何将当前分数相加,jquery,javascript
- apache - PHP 启动:无法在 codeigniter ubuntu 中加载动态库 'php_mysqli'
- c# - 复杂类型需要主键