我正在处理的项目是一个部署在Kubernetes集群上的应用程序,它使用智能卡PKI方案进行身份验证。该集群在几个应用程序之间共享,并非所有这些应用程序都需要(甚至应该(PKI的客户端证书验证。因此,我们使用ingress nginx helm图表来处理进入集群的问题,然后指向第二个反向代理,该代理代理代理应用程序服务(web应用程序、api服务器等(。两个代理都有SSL证书。
最初,我们使用Ingress注释并将CA证书安装到Ingress nginx部署中,以处理客户端证书验证,但现在我们正尝试在第二个代理上处理所有证书验证,以便对其进行更多控制。Ingress nginx是一个很好的工具,但它抽象了很多服务器配置。
目前,我看到的问题是第一个代理(ingress nginx(正在接收请求,并将它们正确地代理到第二个代理。但是,因为ingress nginx没有ssl_client_verify
指令,所以它不请求客户端的证书。当请求到达第二个代理(它确实有ssl_client_verify
(时,这个代理只返回一个400,并表示客户端从未发送过证书(它没有(。
我如何告诉第二个代理从第一个代理请求证书,使第一个代理然后从用户请求证书?或者,如果有一个更简单的解决方案,我也持开放态度。
我们的ingress nginx控制器的ingress对象如下所示:(主机名填充有kustosize(
apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
name: proxy
namespace: web
annotations:
kubernetes.io/ingress.class: nginx
cert-manager.io/issuer: cert-issuer
nginx.ingress.kubernetes.io/force-ssl-redirect: "true"
nginx.ingress.kubernetes.io/backend-protocol: "HTTPS"
spec:
tls:
- hosts:
- placeholder.com
secretName: web-cert
rules:
- host: placeholder.com
http:
paths:
- backend:
serviceName: proxy
servicePort: 443
path: /
我为第二个代理使用的服务器配置如下:(代理映像在容器启动时用环境变量替换(
# nginx.conf
user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log warn;
pid /var/run/nginx.pid;
events {
worker_connections 1024;
}
http {
include /etc/nginx/mime.types;
default_type application/octet-stream;
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main;
sendfile on;
keepalive_timeout 65;
include /etc/nginx/conf.d/default.conf;
client_max_body_size 0;
}
# default.conf
server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name ${PROXY_DOMAIN} www.${PROXY_DOMAIN};
ssl_certificate /etc/nginx/certs/certificate.pem;
ssl_certificate_key /etc/nginx/certs/key.pem;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
ssl_verify_client on;
ssl_verify_depth 4;
ssl_client_certificate /etc/nginx/certs/DoDRoots.crt;
# Inform the proxyed app which user had connected to this TLS endpoint
add_header X-Client-Verified $ssl_client_verify;
add_header X-CLient-Certificate $ssl_client_escaped_cert;
include /etc/nginx/conf.d/shared_locations.conf;
}
server {
listen 80;
server_name ${PROXY_DOMAIN} www.${PROXY_DOMAIN};
return 301 https://$server_name$request_uri;
}
# shared_locations.conf
location / {
proxy_pass http://${DOMAIN_FRONT}:${PORT_FRONT}/;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
location /api/ {
proxy_pass http://${DOMAIN_BACK}:${PORT_BACK}/api/;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
如何告诉第二个代理从第一个代理请求证书,让第一个代理然后从用户请求证书?
这是不可能的。无法在通过TLS级别的客户端证书的同时终止第一个代理的TLS连接。除此之外,在第一代理上的TLS握手甚至在与第二代理的TLS握手开始之前就完成了,例如,没有办法让第二代理发出客户端证书要求的信号。