让我们在 GKE 上使用 HApRoxy 进行加密
Let's Encrypt with HApRoxy on GKE
我正在关注一些文章以在我的应用程序上实施 SSL。但是无法理解如何生成证书或者是否需要生成证书?
最主要的是,在概念上,我无法将这些东西放在一起。
让我解释一下情况。
我是 运行 GKE 集群中的一个应用程序 "User Registration"(基于 REST API),具有 HAProcxy 入口控制器和 HTTP(S) L7 负载均衡器。我有一个现有域(例如 mydomain.com),我在其中托管我的网站。托管平台提供了用于保护通配符域 (*.mydomain.com) 的 SSL 证书,我的网站以 http(冒号)(斜线斜线)mydomain.com 打开。我创建了一个子域 apps.mydomain.com 并将 "A" 记录指向 GCP HTTP(S) 负载均衡器 IP,以便我可以通过互联网访问该应用程序。我可以通过 Internet 上的端口 80 访问我的应用程序。但它在 Post 443(使用 https)上不起作用。
在文章中,我需要使用 ACME 生成证书和密钥,同样需要在 Cluster Issuer 和 Ingress 中使用。
Ref# digitalocean.com/community/tutorials/how-to-set-up-an-nginx-ingress-with-cert-manager-on-digitalocean-kubernetes
我需要向我的 domain/hosting 提供商索取证书和密钥吗?
或者我可以使用 ACME 使用主机名生成另一个证书:apps.mydomain.com?
我什至从我的主机提供的网站下载了证书和密钥(有一个选项 - 用户你拥有服务器)并仅在 Ingress 中使用它们(使用证书和 ley 作为秘密)。但是我的网站进入了不安全模式,当卷曲 API https://apps.mydomain.com/CreteUser 时出现错误:
TCP_NODELAY 设置
- schannel:接收握手失败,需要更多数据
- schannel:SSL/TLS 与应用程序的连接。mydomain.com 端口 443(步骤 2/3)
- schannel: 加密数据得到1845
- schannel:加密数据缓冲区:偏移量1845长度4096
- schannel:SNI 或证书检查失败:SEC_E_WRONG_PRINCIPAL (0x80090322) - 目标主体名称不正确。
- 正在关闭连接 0
- schannel:关闭 SSL/TLS 与 demo.apps.product.barnsleypujo.co.uk 端口 443
的连接
- schannel:清除安全上下文句柄
curl: (35) schannel: SNI 或证书检查失败:SEC_E_WRONG_PRINCIPAL (0x80090322) - 目标主体名称不正确。
你能帮帮我吗?
谢谢,
苏文杜
证书主题中的星号 (*.example.com) 表示您可以将名称的第一个域名部分替换为您想要的任何内容,例如apps.example.com、mail.example.com 等
RFC2818 状态:
If more than one identity of a given type is present in the
certificate (e.g., more than one dNSName name, a match in any one of
the set is considered acceptable.) Names may contain the wildcard
character * which is considered to match any single domain name
component or component fragment. E.g., .a.com matches foo.a.com but
not bar.foo.a.com. f.com matches foo.com but not bar.com.
在您的错误消息中,您的名称 demo.apps.product.example.com 与通配符证书不匹配,因此给出了错误 SEC_E_WRONG_PRINCIPAL.
要解决此问题,请替换点,例如demo-apps-product.example.com 或者没有点的完全不同的东西。
我正在关注一些文章以在我的应用程序上实施 SSL。但是无法理解如何生成证书或者是否需要生成证书?
最主要的是,在概念上,我无法将这些东西放在一起。
让我解释一下情况。
我是 运行 GKE 集群中的一个应用程序 "User Registration"(基于 REST API),具有 HAProcxy 入口控制器和 HTTP(S) L7 负载均衡器。我有一个现有域(例如 mydomain.com),我在其中托管我的网站。托管平台提供了用于保护通配符域 (*.mydomain.com) 的 SSL 证书,我的网站以 http(冒号)(斜线斜线)mydomain.com 打开。我创建了一个子域 apps.mydomain.com 并将 "A" 记录指向 GCP HTTP(S) 负载均衡器 IP,以便我可以通过互联网访问该应用程序。我可以通过 Internet 上的端口 80 访问我的应用程序。但它在 Post 443(使用 https)上不起作用。
在文章中,我需要使用 ACME 生成证书和密钥,同样需要在 Cluster Issuer 和 Ingress 中使用。
Ref# digitalocean.com/community/tutorials/how-to-set-up-an-nginx-ingress-with-cert-manager-on-digitalocean-kubernetes
我需要向我的 domain/hosting 提供商索取证书和密钥吗? 或者我可以使用 ACME 使用主机名生成另一个证书:apps.mydomain.com?
我什至从我的主机提供的网站下载了证书和密钥(有一个选项 - 用户你拥有服务器)并仅在 Ingress 中使用它们(使用证书和 ley 作为秘密)。但是我的网站进入了不安全模式,当卷曲 API https://apps.mydomain.com/CreteUser 时出现错误:
TCP_NODELAY 设置
- schannel:接收握手失败,需要更多数据
- schannel:SSL/TLS 与应用程序的连接。mydomain.com 端口 443(步骤 2/3)
- schannel: 加密数据得到1845
- schannel:加密数据缓冲区:偏移量1845长度4096
- schannel:SNI 或证书检查失败:SEC_E_WRONG_PRINCIPAL (0x80090322) - 目标主体名称不正确。
- 正在关闭连接 0
- schannel:关闭 SSL/TLS 与 demo.apps.product.barnsleypujo.co.uk 端口 443 的连接
- schannel:清除安全上下文句柄 curl: (35) schannel: SNI 或证书检查失败:SEC_E_WRONG_PRINCIPAL (0x80090322) - 目标主体名称不正确。
你能帮帮我吗?
谢谢, 苏文杜
证书主题中的星号 (*.example.com) 表示您可以将名称的第一个域名部分替换为您想要的任何内容,例如apps.example.com、mail.example.com 等
RFC2818 状态:
If more than one identity of a given type is present in the certificate (e.g., more than one dNSName name, a match in any one of the set is considered acceptable.) Names may contain the wildcard character * which is considered to match any single domain name component or component fragment. E.g., .a.com matches foo.a.com but not bar.foo.a.com. f.com matches foo.com but not bar.com.
在您的错误消息中,您的名称 demo.apps.product.example.com 与通配符证书不匹配,因此给出了错误 SEC_E_WRONG_PRINCIPAL.
要解决此问题,请替换点,例如demo-apps-product.example.com 或者没有点的完全不同的东西。