NGINX 入口控制器、SSL 和 optional_no_ca答案

【问题标题】：NGINX Ingress controller, SSL and optional_no_caNGINX 入口控制器、SSL 和 optional_no_ca
【发布时间】：2021-03-07 21:32:50
【问题描述】：

我已从 name.com 获得证书。

➜ tree .     
.
├── ca.crt
├── vpk.crt
├── vpk.csr
└── vpk.key

我是如何创造秘密的

我在 vpk.crt 文件末尾添加了 ca.crt 内容。

(⎈ | vpk-dev-eks:argocd)
➜ k create secret tls tls-secret --cert=vpk.crt --key=vpk.key --dry-run -o yaml | kubectl apply -f -

(⎈ | vpk-dev-eks:argocd)
➜ kubectl create secret generic ca-secret --from-file=ca.crt=ca.crt --dry-run -o yaml | kubectl apply -f -

这是我的入口：

apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
  name: websockets-ingress
  namespace: development
  annotations:
    kubernetes.io/ingress.class: "nginx"
    nginx.ingress.kubernetes.io/proxy-send-timeout: "3600"
    nginx.ingress.kubernetes.io/proxy-read-timeout: "3600"
    # Enable client certificate authentication
    nginx.ingress.kubernetes.io/auth-tls-verify-client: "optional_no_ca"
    # Create the secret containing the trusted ca certificates
    nginx.ingress.kubernetes.io/auth-tls-secret: "development/ca-secret"
    # Specify the verification depth in the client certificates chain
    nginx.ingress.kubernetes.io/auth-tls-verify-depth: "1"
    # Specify if certificates are passed to upstream server
    nginx.ingress.kubernetes.io/auth-tls-pass-certificate-to-upstream: "true"
    argocd.argoproj.io/sync-wave: "10"
spec:
  tls:
    - hosts:
      - backend-dev.project.com
      secretName: tls-secret
  
  rules:
  - host: backend-dev.project.com
    http:
      paths:
      - path: /ws/
        backend:
          serviceName: websockets-service
          servicePort: 443

证书已正确验证，我可以通过各种 CLI WebSocket 客户端进行连接，https://www.ssllabs.com/ssltest 给了我“A+”

但是如果我设置

nginx.ingress.kubernetes.io/auth-tls-verify-client: "on"

然后一切都停止工作，我在 nginx 入口控制器端（POD 日志）收到 400 错误。

我对官方文档感到困惑：

optional_no_ca 参数（1.3.8、1.2.5）请求客户端证书，但不要求它由受信任的 CA 证书签名。这适用于 nginx 外部的服务执行实际证书验证的情况。证书的内容可通过 $ssl_client_cert 变量访问。

那么“optional_no_ca”到底在做什么以及为什么“on”会导致请求失败？

【问题讨论】：

您使用 Cloudflare 吗？你能用nginx.ingress.kubernetes.io/auth-tls-secret: "ca-secret"代替nginx.ingress.kubernetes.io/auth-tls-secret: "development/ca-secret"吗？有相关的github issue。我对 auth-tls-verify-client 有点困惑，你使用了 nginx.ingress.kubernetes.io/auth-tls-verify-client: "yes"，我认为应该是 nginx.ingress.kubernetes.io/auth-tls-verify-client: "on"，因为 auth-tls-verify-client 中没有 yes 值，你能尝试更改并再次测试？
@Jakub - 抱歉，我使用了“开启”选项，而不是~是的~。所以用“on”，我得到400错误。所以我的问题是了解当我们设置“optional_no_ca”时幕后具体发生了什么？
根据documentation，它执行可选的客户端证书验证，但当客户端证书未由来自 auth-tls-secret 的 CA 签名时，请求不会失败。因此，如果使用auth-tls-verify-client: "on" 得到 400，那么我认为auth-tls-secret 存在问题。如上所述，您是否尝试将其更改为 nginx.ingress.kubernetes.io/auth-tls-secret: "ca-secret" 和 auth-tls-verify-client: "on"？
@DmitrySemenov 您好，您还受到这个问题的影响吗？你解决了吗？

标签： nginx ssl kubernetes kubernetes-ingress nginx-ingress

【解决方案1】：

Optional_no_ca 执行可选的客户端证书验证，并且当 CA 未从 auth-tls-secret 签署客户端证书时，它不会使请求失败。即使指定了 optional_no_ca 参数，也需要提供客户端证书。正如1文档中提到的，实际的证书验证是在服务在Nginx外部时完成的。

当你设置 nginx.ingress.kubernetes.io/auth-tls-verify-client:on，它请求客户端证书，该证书必须由 nginx.ingress.kubernetes.io/auth-tls-secret 指定的密钥的密钥 ca.crt 中包含的证书签名:secretName。

如果不是这样，则证书验证将失败并导致状态代码 400（错误请求）。更多信息请查看this。

【讨论】：