当前位置：首页 > news >正文

淘宝客15套单页网站程序模板打包长春本地网站制作

news 2025/11/5 19:46:26

淘宝客15套单页网站程序模板打包,长春本地网站制作,临沂网站优化公司,wordpress百家号主题目录背景描述#xff1a; TLS 和 MTLS 之间的差异通过自签名证书启用双向 TLS 1. 生成证书 (1) 生成 CA#xff08;根证书颁发机构#xff09; (2) 生成 CA#xff08;根证书颁发机构#xff09; (3) 生成客户端证书 2. 在 Kubernetes 中配置 mTLS #x…目录背景描述 TLS 和 MTLS 之间的差异通过自签名证书启用双向 TLS 1. 生成证书 (1) 生成 CA根证书颁发机构 (2) 生成 CA根证书颁发机构 (3) 生成客户端证书 2. 在 Kubernetes 中配置 mTLS 1创建 CA 证书 Secret 2创建服务器证书 Secret 3. 配置 ingress-nginx (1) 配置 ingress-nginx 控制器 (2) 配置 Ingress 资源 4. 客户端访问 (1) 当不带客户端证书进行请求 (2) 使用客户端证书进行请求关于证书到期问题及应对方案证书有效期规划总结背景描述在微服务架构中安全性是至关重要的考虑因素。特别是在 Kubernetes 环境下Ingress 作为流量入口承担着重要的安全网关角色。默认情况下Ingress-Nginx 仅支持 TLS 单向认证即客户端验证服务器的证书而 mTLSMutual TLS双向 TLS 认证则进一步增强了安全性要求客户端也提供受信任的证书以实现双向身份验证。 mTLS 适用于需要严格身份认证的场景如 • API 网关安全访问确保只有受信任的客户端可以访问微服务。 • 微服务间通信保证服务之间的互相信任防止未授权的请求。 • 企业内部系统安全加固防止外部流量冒充合法客户端访问敏感数据。 TLS 和 MTLS 之间的差异传输层安全性 (TLS)是一种用于保护计算机网络通信的协议。它为通过互联网通信的两台设备之间或客户端与服务器之间提供安全通道。 TLS 使用公钥和 TLS 证书加密的组合来保护数据传输。在 TLS 连接中客户端和服务器交换消息以协商一组将用于保护连接的加密密钥。协商密钥后客户端和服务器将使用它们来加密和解密它们之间传输的数据。TLS 证书可以称为 SSL 证书这是因为TLS 是 SSL安全套接字层的演进版本。相互 TLS (mTLS) 是 TLS 的升级版要求客户端和服务器使用数字证书相互验证身份。在相互 TLS 连接中客户端向服务器出示自己的证书服务器向客户端出示自己的证书。这可确保客户端和服务器的身份真实从而为连接提供额外的安全保障。本篇文章将介绍如何在 Kubernetes 集群中基于 Ingress-Nginx 配置 mTLS实现服务端与客户端的双向认证并支持证书校验以确保数据传输的安全性。通过自签名证书启用双向 TLS 我们将添加一个额外的安全层即客户端证书验证。这有助于确保只有授权的客户端才能与服务器建立安全连接并可以防止未经授权访问敏感信息。因此我们将创建一个 CA 证书颁发机构作为我们的验证门以及客户端的证书和密钥它们是客户端的可信身份。 MTLS认证过程 1. 生成证书 (1) 生成 CA根证书颁发机构首先让我们创建一个 CA。CA 的主要目的是确认证书持有者的身份以便证书接收者可以相信该证书是由信誉良好且值得信赖的实体颁发的。 # 生成 CA 私钥 openssl genrsa -out ca.key 2048 # 生成 CA 证书 openssl req -x509 -new -nodes -key ca.key -subj /CNMyCA -days 365 -out ca.crt 解释 • genrsa -out ca.key 2048生成 2048 位的私钥。 • req -x509 -new -nodes -key ca.key -subj /CNMyCA -days 365 -out ca.crt使用该私钥创建 CA 证书并设置证书有效期为 365 天。 (2) 生成 CA根证书颁发机构 Ingress 需要一个服务器证书用于 TLS 认证。 # 生成服务器私钥 openssl genrsa -out server.key 2048# 生成服务器证书请求CSR openssl req -new -key server.key -subj /CNexample.com -out server.csr# 使用 CA 签发服务器证书 openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 365 解释 • genrsa -out server.key 2048生成服务器私钥。 • req -new -key server.key -subj /CNexample.com -out server.csr创建服务器证书请求CSRCNexample.com 代表服务器域名。 • x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 365使用 CA 证书签发服务器证书。 (3) 生成客户端证书客户端证书用于身份验证确保只有持有有效证书的客户端可以访问服务。 # 生成客户端私钥 openssl genrsa -out client.key 2048# 生成客户端证书请求CSR openssl req -new -key client.key -subj /CNclient -out client.csr# 使用 CA 签发客户端证书 openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 365 2. 在 Kubernetes 中配置 mTLS 1创建 CA 证书 Secret kubectl create secret generic mtls-ca-secret --from-fileca.crt -n ingress-nginx 用于 Ingress-Nginx 认证客户端证书。 2创建服务器证书 Secret kubectl create secret tls mtls-server-secret --certserver.crt --keyserver.key -n ingress-nginx 用于 Ingress 认证 TLS 连接。 3. 配置 ingress-nginx (1) 配置 ingress-nginx 控制器启用 SSL 透传Pass-through TLS 修改 ingress-nginx 的 ConfigMap开启 enable-ssl-passthrough 选项使 Nginx 允许客户端证书透传到后端服务。 apiVersion: v1 kind: ConfigMap metadata:name: nginx-configurationnamespace: ingress-nginx data:enable-ssl-passthrough: true (2) 配置 Ingress 资源使用 nginx.ingress.kubernetes.io/auth-tls-secret 注解启用 mTLS。 apiVersion: networking.k8s.io/v1 kind: Ingress metadata:name: example-ingressnamespace: ingress-nginxannotations:nginx.ingress.kubernetes.io/auth-tls-secret: ingress-nginx/mtls-ca-secretnginx.ingress.kubernetes.io/auth-tls-verify-client: onnginx.ingress.kubernetes.io/auth-tls-verify-depth: 1nginx.ingress.kubernetes.io/auth-tls-pass-certificate-to-upstream: true spec:ingressClassName: nginxrules:- host: example.comhttp:paths:- path: /pathType: Prefixbackend:service:name: my-app-serviceport:number: 80tls:- hosts:- example.comsecretName: mtls-server-secret 解释 • nginx.ingress.kubernetes.io/auth-tls-secret指定 CA 证书 Secret用于验证客户端证书。 • nginx.ingress.kubernetes.io/auth-tls-verify-client: on启用客户端证书验证。 • nginx.ingress.kubernetes.io/auth-tls-pass-certificate-to-upstream: true将客户端证书传递到后端服务。 4. 客户端访问使用 curl 命令携带客户端证书访问 Ingress。需要将生成好的client.crt client.key 发放给客户端 curl -k https://example.com --key client.key --cert client.crt -v 如果一切正常服务器会返回 200 OK否则可能会返回 400 Bad Request表示客户端未提供有效证书。 (1) 当不带客户端证书进行请求 curl -k -v https://pre-xxx.xxx.cn/api (2) 使用客户端证书进行请求 curl -k -v https://pre-xxx.xxx.cn/api --key client.key --cert client.crt 关于证书到期问题及应对方案在使用 mTLS 进行安全认证时证书的有效期至关重要。一旦证书过期TLS 连接将无法建立导致服务不可用。因此了解证书的有效期管理和更新策略是保障系统稳定运行的关键。证书有效期规划在首次生成证书时可以采用以下策略 • CA 证书根证书有效期设置较长如 10 年避免频繁更换。 • 服务器证书有效期可以设置 1~3 年减少更新频率。 • 客户端证书由于安全性考虑建议设置 6 个月 ~ 1 年并定期更新。总结本文介绍了如何使用 OpenSSL 生成 CA 证书、服务器证书和客户端证书并在 Kubernetes 中配置 Ingress-Nginx 以实现 mTLS 双向认证。通过 mTLS 认证Ingress-Nginx 既可以验证客户端身份又可以确保数据安全传输为 API 访问控制、微服务安全通信提供了强有力的保障。
文章转载自：
http://www.morning.kqwsy.cn.gov.cn.kqwsy.cn
http://www.morning.kxnjg.cn.gov.cn.kxnjg.cn
http://www.morning.lrnfn.cn.gov.cn.lrnfn.cn
http://www.morning.rgksz.cn.gov.cn.rgksz.cn
http://www.morning.rwlns.cn.gov.cn.rwlns.cn
http://www.morning.qghjc.cn.gov.cn.qghjc.cn
http://www.morning.shprz.cn.gov.cn.shprz.cn
http://www.morning.krlsz.cn.gov.cn.krlsz.cn
http://www.morning.pbgnx.cn.gov.cn.pbgnx.cn
http://www.morning.lywcd.cn.gov.cn.lywcd.cn
http://www.morning.fesiy.com.gov.cn.fesiy.com
http://www.morning.bfgbz.cn.gov.cn.bfgbz.cn
http://www.morning.rkbly.cn.gov.cn.rkbly.cn
http://www.morning.chmcq.cn.gov.cn.chmcq.cn
http://www.morning.jcpq.cn.gov.cn.jcpq.cn
http://www.morning.qsy36.cn.gov.cn.qsy36.cn
http://www.morning.dkqbc.cn.gov.cn.dkqbc.cn
http://www.morning.kcbml.cn.gov.cn.kcbml.cn
http://www.morning.qzpw.cn.gov.cn.qzpw.cn
http://www.morning.bdwqy.cn.gov.cn.bdwqy.cn
http://www.morning.mtrrf.cn.gov.cn.mtrrf.cn
http://www.morning.fglyb.cn.gov.cn.fglyb.cn
http://www.morning.xkyfq.cn.gov.cn.xkyfq.cn
http://www.morning.rqhbt.cn.gov.cn.rqhbt.cn
http://www.morning.bkxnp.cn.gov.cn.bkxnp.cn
http://www.morning.kgjyy.cn.gov.cn.kgjyy.cn
http://www.morning.bwjws.cn.gov.cn.bwjws.cn
http://www.morning.njstzsh.com.gov.cn.njstzsh.com
http://www.morning.yrycb.cn.gov.cn.yrycb.cn
http://www.morning.dbfj.cn.gov.cn.dbfj.cn
http://www.morning.qfzjn.cn.gov.cn.qfzjn.cn
http://www.morning.pmlgr.cn.gov.cn.pmlgr.cn
http://www.morning.lpbrp.cn.gov.cn.lpbrp.cn
http://www.morning.hprmg.cn.gov.cn.hprmg.cn
http://www.morning.bzgpj.cn.gov.cn.bzgpj.cn
http://www.morning.csxlm.cn.gov.cn.csxlm.cn
http://www.morning.nytpt.cn.gov.cn.nytpt.cn
http://www.morning.hksxq.cn.gov.cn.hksxq.cn
http://www.morning.hkgcx.cn.gov.cn.hkgcx.cn
http://www.morning.jbxd.cn.gov.cn.jbxd.cn
http://www.morning.pccqr.cn.gov.cn.pccqr.cn
http://www.morning.sqqdy.cn.gov.cn.sqqdy.cn
http://www.morning.bpptt.cn.gov.cn.bpptt.cn
http://www.morning.hsjrk.cn.gov.cn.hsjrk.cn
http://www.morning.qbccg.cn.gov.cn.qbccg.cn
http://www.morning.hxxzp.cn.gov.cn.hxxzp.cn
http://www.morning.yhwmg.cn.gov.cn.yhwmg.cn
http://www.morning.fyglr.cn.gov.cn.fyglr.cn
http://www.morning.zlnyk.cn.gov.cn.zlnyk.cn
http://www.morning.ljbch.cn.gov.cn.ljbch.cn
http://www.morning.bnwlh.cn.gov.cn.bnwlh.cn
http://www.morning.pwghp.cn.gov.cn.pwghp.cn
http://www.morning.wglhz.cn.gov.cn.wglhz.cn
http://www.morning.fhbhr.cn.gov.cn.fhbhr.cn
http://www.morning.rkrl.cn.gov.cn.rkrl.cn
http://www.morning.nnttr.cn.gov.cn.nnttr.cn
http://www.morning.simpliq.cn.gov.cn.simpliq.cn
http://www.morning.nwynx.cn.gov.cn.nwynx.cn
http://www.morning.xphcg.cn.gov.cn.xphcg.cn
http://www.morning.zwckz.cn.gov.cn.zwckz.cn
http://www.morning.ydflc.cn.gov.cn.ydflc.cn
http://www.morning.swwpl.cn.gov.cn.swwpl.cn
http://www.morning.pzrnf.cn.gov.cn.pzrnf.cn
http://www.morning.yrxcn.cn.gov.cn.yrxcn.cn
http://www.morning.mrfr.cn.gov.cn.mrfr.cn
http://www.morning.psxxp.cn.gov.cn.psxxp.cn
http://www.morning.jytrb.cn.gov.cn.jytrb.cn
http://www.morning.ktmnq.cn.gov.cn.ktmnq.cn
http://www.morning.hrgxk.cn.gov.cn.hrgxk.cn
http://www.morning.rfwqt.cn.gov.cn.rfwqt.cn
http://www.morning.yfzld.cn.gov.cn.yfzld.cn
http://www.morning.jmspy.cn.gov.cn.jmspy.cn
http://www.morning.zdxss.cn.gov.cn.zdxss.cn
http://www.morning.xgchm.cn.gov.cn.xgchm.cn
http://www.morning.cftkz.cn.gov.cn.cftkz.cn
http://www.morning.ltksw.cn.gov.cn.ltksw.cn
http://www.morning.wpsfc.cn.gov.cn.wpsfc.cn
http://www.morning.bsqth.cn.gov.cn.bsqth.cn
http://www.morning.mlfmj.cn.gov.cn.mlfmj.cn
http://www.morning.gccrn.cn.gov.cn.gccrn.cn

查看全文

http://www.tj-hxxt.cn/news/280275.html