前端双向认证配置

平台部署后默认打开了 TLS 服务端(单向)认证，本文介绍如何在已有服务端认证的情况下，开启客户端验证(双向)认证。整个云平台运行在 Kubernetes 之上，前端服务通过 ingress 暴露出来，我们使用了开源的traefik组件来负责 ingress 的实现，所以在 traefik 上设置客户端认证。生成证书下面使用生成自签名证书的方式来配置，如果已经有证书机构签发的服务端和客户端

devpresscloudpods

15人浏览 · 2023-12-19 16:13:36

devpresscloudpods · 2023-12-19 16:13:36 发布

平台部署后默认打开了 TLS 服务端(单向)认证，本文介绍如何在已有服务端认证的情况下，开启客户端验证(双向)认证。

整个云平台运行在 Kubernetes 之上，前端服务通过 ingress 暴露出来，我们使用了开源的 traefik 组件来负责 ingress 的实现，所以在 traefik 上设置客户端认证。

生成证书

下面使用生成自签名证书的方式来配置，如果已经有证书机构签发的服务端和客户端证书，可以忽略这个步骤。

生成 CA

$ openssl req -x509 -sha256 -newkey rsa:4096 -keyout ca.key -out ca.crt -days 356 -nodes -subj '/CN=My Cert Authority'

生成 Server 服务端证书

基于上面生成的 CA 签发 server 证书：

$ openssl req -new -newkey rsa:4096 -keyout server.key -out server.csr -nodes -subj '/CN=mydomain.com'
$ openssl x509 -req -sha256 -days 365 -in server.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt

生成 Client 客户端证书

基于上面生成的 CA 签发 client 证书：

$ openssl req -new -newkey rsa:4096 -keyout client.key -out client.csr -nodes -subj '/CN=My Client'
$ openssl x509 -req -sha256 -days 365 -in client.csr -CA ca.crt -CAkey ca.key -set_serial 02 -out client.crt

上传证书到 Kubernetes

# 上传 ca 到 kube-system 命令空间
$ kubectl -n kube-system create secret generic ca-secret --from-file=ca.crt=ca.crt

# 上传 server 证书到 onecloud 命名空间
$ kubectl -n onecloud create secret generic tls-secret --from-file=tls.crt=server.crt --from-file=tls.key=server.key

修改前端 default-web ingress

前端是通过 onecloud 命令空间里面的 default-web ingress 访问的，把前端使用的 tls 证书换成 tls-secret 。

$ kubectl edit ingress -n onecloud default-web
...
  tls:
  # 修改这个 secretName 为 tls-secret
  - secretName: tls-secret
...

修改 traefik 配置

修改 traefik configmap

traefik 的配置在 kube-system 命名空间的 traefik-ingress-lb config 里面，开启客户端验证主要是配置 entryPoints.https.tls.ClientCA 。

$ kubectl edit configmaps -n kube-system traefik-ingress-lb
...
     [entryPoints.https]
        address = ":443"
        # 添加如下的 ClientCA 配置
        [entryPoints.https.tls]
          [entryPoints.https.tls.ClientCA]
          files = ["/tests/ca.crt"]
          optional = false
...

修改 traefik daemonset

然后修改 kube-system 命令空间里面的 traefik-ingress-controller daemonset ，主要是把刚才创建的 ca-secret 挂载到配置的 /tests/ca.crt 目录。

$ kubectl edit daemonsets -n kube-system traefik-ingress-controller
...
        volumeMounts:
        - mountPath: /config
          name: config
        # 添加这个 volume mount，名称为 ca
        - mountPath: /tests
          name: ca
...
      volumes:
      - configMap:
          defaultMode: 420
          name: traefik-ingress-lb
        name: config
      - name: ca
        secret:
          defaultMode: 420
          # 这里引用之前创建的 ca-secret
          secretName: ca-secret
...

重启 traefik 服务

$ kubectl get pods -n kube-system | grep traefik | awk '{print $1}' | xargs kubectl delete pods -n kube-system

等待 traefik 容器变成 Running。

$ kubectl get pods -n kube-system | grep traefik
traefik-ingress-controller-fk54h           1/1     Running       0          9s

使用 curl 进行测试

假设部署的前端访问地址是 https://192.168.121.21 ，下面验证客户端认证是否开启：

# 不使用 client 证书访问失败，符合预期
$ curl -k https://192.168.121.21
curl: (58) NSS: client certificate not found (nickname not specified)

# 使用 client 证书访问成功
$ curl -k --cert ./client.crt --key ./client.key https://192.168.121.21
<!DOCTYPE html><html lang=en translate=no><head><meta charset=utf-8><meta http-equiv=X-UA-Compatible content="IE=edge"><meta name=viewport content="width=device-width,initial-scale=1"><meta name=google content=notranslate><link rel=icon href=/favicon.ico><title>云联壹云</title><link href=/js/chunk-2d216214.5f7b7e0c.js rel=prefetch><link href=/js/chunk-39bb5eb4.8512e62d.js rel=prefetch><link href=/css/app.fb52a32e.css rel=preload as=style><link href=/css/chunk-vendors.09e9c25d.css rel=preload as=style><link href=/js/app.74cda7af.js rel=preload as=script><link href=/js/chunk-vendors.a7b5c015.js rel=preload as=script><link href=/css/chunk-vendors.09e9c25d.css rel=stylesheet><link href=/css/app.fb52a32e.css rel=stylesheet></head><body><noscript><strong>We're sorry but OneCloud doesn't work properly without JavaScript enabled. Please enable it to continue.</strong></noscript><div id=app></div><script src=/vendor.b82688a471b737ceddd1.js></script><script src=/js/chunk-vendors.a7b5c015.js></script><script src=/js/app.74cda7af.js></script></body></html>

浏览器配置

通过以上的配置，发现客户端配置已经成功，但通过浏览器访问，还需要把客户端的证书放到浏览器里面，否则访问就会出现下面的界面：

下面以 Chrome 浏览器为例，需要把之前生成的 client.crt 和 client.key 装换成 pfx/pkcs12 格式，就能导入浏览器，命令如下：

# 把 client.crt 和 client.key 组合到一起
$ cat client.crt client.key > pkcs12.pem 

# 转换成 pkcs12 格式
$ openssl pkcs12 -in pkcs12.pem -export -out pkcs12.p12

把 pkcs12.p12 导入到浏览器：

选择刚才生成的 pkcs12.p12 证书：

导入后再刷新访问前端，就可以成功访问界面。

Cloudpods

开源、云原生的融合云平台

更多推荐

面向未来的 IT 基础设施管理架构——融合云（Unified IaaS）

随着数字化时代的到来，IT系统已成为人类社会正常运转不可或缺的组成部分。不远的未来，智能制造，5G和人工智能等技术将成为推动生产力发展的重要引擎，人类社会将面临前所未有的全面彻底的数字化浪潮。IT基础设施作为IT系统运行的平台和载体，是实现数字化的基石。在这场数字化浪潮中，企业必须积极拥抱云计算技术，采用符合技术发展趋势、面向未来的IT基础构架，才能在未来的竞争中赢得先机。一、云计算历经十余年

Cloudpods

Cloudpods负载均衡的功能介绍

作者:周有松今天的内容会从以下几个方面展开：负载均衡产品简介。主要介绍负载均衡作为一个云上产品，它的功能模型是怎样的，日常使用中会遇到的业务词汇负载均衡的功能与典型应用场景。这部分主要结合业务词汇，对负载均衡服务中常见的一些功能选项进行介绍，并举例介绍一些典型的应用场景最后，我们做一下总结，讨论一下负载均衡产品相比传统方式的优点一、产品简介 1. 以NGINX为例提到负载均衡，我们以

Cloudpods

使用Linux vfio将Nvidia GPU透传给QEMU虚拟机

Linux 上虚拟机 GPU 透传需要使用 vfio 的方式。主要是因为在 vfio 方式下对虚拟设备的权限和 DMA 隔离上做的更好。但是这么做也有个缺点，这个物理设备在主机和其他虚拟机都不能使用了。 qemu 直接使用物理设备本身命令行是很简单的，关键在于事先在主机上对系统、内核和物理设备的一些配置。单纯从 qemu 的命令行来看，其实和普通虚拟机启动就差了最后那个-device的选项。这