入口客户端证书身份验证需要秘密存储 CA 证书?
Ingress client certificate authenticate requires CA certificate to be stored in secret?
我想在我的 AKS 群集中启用客户端证书身份验证,我有一个我似乎不明白的基本问题。根据 docs,入口需要将 CA 证书存储在秘密中。我的问题是:假设我使用由受信任的 CA 颁发的客户端证书(这就是它的工作原理?CA 颁发他们签署的客户端证书?),为什么受信任的 CA 会给我他们的 CA 证书以供存储在 AKS 集群中作为秘密? CA 是否只是将证书分发给 public?这不是安全问题吗? (因为我可以使用该 CA 证书签署客户端证书)
CA 证书 .crt
文件不包含私钥。它只包含public密钥+证书信息,即public,不能用于签署新证书。您可以安全地将 ca.crt
存储在 Kubernetes Secret 中,它只需要服务器证书的私钥。
我想在我的 AKS 群集中启用客户端证书身份验证,我有一个我似乎不明白的基本问题。根据 docs,入口需要将 CA 证书存储在秘密中。我的问题是:假设我使用由受信任的 CA 颁发的客户端证书(这就是它的工作原理?CA 颁发他们签署的客户端证书?),为什么受信任的 CA 会给我他们的 CA 证书以供存储在 AKS 集群中作为秘密? CA 是否只是将证书分发给 public?这不是安全问题吗? (因为我可以使用该 CA 证书签署客户端证书)
CA 证书 .crt
文件不包含私钥。它只包含public密钥+证书信息,即public,不能用于签署新证书。您可以安全地将 ca.crt
存储在 Kubernetes Secret 中,它只需要服务器证书的私钥。