我正在尝试为Kubernetes集群中部署的应用程序启用基于Mutual TLS的身份验证。
用例:
我尝试通过添加以下注释在kuberentes入口控制器(基于nginx)上设置Mutual TLS。
nginx.ingress.kubernetes.io/auth-tls-verify-client: "on"
nginx.ingress.kubernetes.io/auth-tls-secret: "ca-cert"
ca-cert是kubernetes机密,其中包含用于颁发客户端证书的CA证书。这样,Ingress就会针对ca-cert验证作为请求的一部分发送的客户端证书。
这对于ca-cert签名的所有客户端证书都非常有效。我正在尝试提出证书吊销过程的解决方案。在这方面需要建议。
是否可以信任单个客户端证书而不是入口中的CA证书?这将帮助我们撤消各个客户证书。