我们正在使用结构安全群集,并且需要 CI/CD 工具的客户端证书。
我已使用此脚本创建了群集主证书和客户端证书 https://gist.github.com/kagarlickij/d63a4061a1066d3a85abcc658f0856f5
因此,两者都已上传到同一个 Kay 保管库,并且都已安装到我机器上的本地密钥库。
我已将客户端证书添加到我的构造安全设置(身份验证类型 = 管理员客户端,授权方法 = 证书指纹(。
问题是我可以使用群集主证书连接到(我在PowerShell中使用Connect-ServiceFabricCluster(,但不能使用客户端证书连接到Fabric群集。 我收到此错误: 连接服务结构群集: FABRIC_E_SERVER_AUTHENTICATION_FAILED: 0x800b0109
请告知可以做些什么?
基于此链接,0x800b0109对应的错误代码为:
证书链已处理,但在根证书中终止 不受信任提供程序的信任。
你正在使用自签名证书作为客户端证书。我不确定它是否受支持 Service Fabric 安全性文档中的说明,此外,您必须确保已在本地存储中添加 SSL 证书。
客户端 X.509 证书
客户端证书通常不是由第三方 CA 颁发的。 相反,当前用户位置的个人存储通常 包含由根证书颁发机构放置在那里的客户端证书,具有 客户端身份验证的预期用途值。客户端可以使用 需要相互身份验证时的此证书。注意
Service Fabric 群集上的所有管理操作都需要服务器证书。客户端证书不能用于管理。
我遇到了同样的问题,我在集群上只有 1 个证书(Azure 在创建集群时生成的证书(,我相信它是一个客户端证书,因为我在管理集群时必须在浏览器中选择它。
最终,我不得不将自签名证书添加到我的根证书存储中(除了我已经拥有它的个人存储之外(,以使 powershell 模块停止抱怨它。