我正在尝试配置NGINX入口控制器,它还可以验证来自客户端的唯一CN或Subjectname。原因是,我们只希望客户端被配置为访问NGINX入口控制器&使用相同的CA&密钥可以被丢弃。
Certificate:
Data:
Version: 1 (0x0)
Serial Number: 2 (0x2)
Signature Algorithm: sha256WithRSAEncryption
Issuer: CN=testAuthority
Validity
Not Before: Apr 5 08:02:23 2020 GMT
Not After : Apr 5 08:02:23 2021 GMT
Subject: CN=**client**
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (4096 bit)
Public Key Algorithm: rsaEncryption
Public-Key: (4096 bit)
Modulus:
<snipped>
Exponent: 65537 (0x10001)
Signature Algorithm: sha256WithRSAEncryption
<snipped>
-----BEGIN CERTIFICATE-----
<snipped>
-----END CERTIFICATE-----
如果从上述证书(如Subject:CN或证书密钥或指纹(接收到对NGINX控制器的请求,则应将其转发到后端。其余证书应被拒绝。
如果有一些注释或配置映射可以在Ingress中配置,这可能会有所帮助。
您可以尝试将CN提取到变量中,然后通过配置片段拒绝基于该变量的访问。一种可能的解决方案是使用额外的Ingress和专用的CA+客户端证书身份验证,并仅向允许的客户端颁发客户端证书。