Citrix ADC Ingress Controller

Installieren, verknüpfen und aktualisieren Sie Zertifikate auf einem Citrix ADC mithilfe des Citrix Ingress Controller

Auf dem Ingress Citrix ADC können Sie Zertifikate installieren, verknüpfen und aktualisieren. Viele Serverzertifikate sind von mehreren hierarchischen Zertifizierungsstellen (CAs) signiert. Das bedeutet, dass Zertifikate eine Kette bilden.

Eine Zertifikatkette ist eine geordnete Liste von Zertifikaten, die ein SSL-Zertifikat und Zertifikate der Zertifizierungsstelle (CA) enthalten. Der Empfänger kann damit überprüfen, ob der Absender und alle Zertifizierungsstellen vertrauenswürdig sind. Die Kette oder der Pfad beginnt mit dem SSL-Zertifikat, und jedes Zertifikat in der Kette wird von der Entität signiert, die durch das nächste Zertifikat in der Kette identifiziert wird.

Jedes Zertifikat, das sich zwischen dem SSL-Zertifikat und dem Stammzertifikat befindet, wird als Ketten- oder Zwischenzertifikat bezeichnet. Das Zwischenzertifikat ist der Unterzeichner oder Aussteller des SSL-Zertifikats. Das Stammzertifikat der Zertifizierungsstelle ist der Unterzeichner oder Aussteller des Zwischenzertifikats.

Wenn das Zwischenzertifikat nicht auf dem Server installiert ist (auf dem das SSL-Zertifikat installiert ist), kann es sein, dass einige Browser, Mobilgeräte und Anwendungen dem SSL-Zertifikat vertrauen. Um das SSL-Zertifikat mit allen Clients kompatibel zu machen, muss das Zwischenzertifikat installiert sein.

Zertifikat-Kette

Verknüpfen von Zertifikaten in Kubernetes

Der Citrix Ingress Controller unterstützt die automatische Bereitstellung und Erneuerung von TLS-Zertifikaten mithilfe des Kubernetes-Cert-Managers. Das cert-manager stellt Zertifikate aus verschiedenen Quellen wie Let’s Encrypt und HashiCorp Vault aus und wandelt sie in Kubernetes-Geheimnisse um.

Das folgende Diagramm erklärt, wie der die Zertifikatsverwaltung cert-manager durchführt. Zertifikatverwaltung

Wenn Sie ein Kubernetes-Secret aus einem PEM-Zertifikat erstellen, das in mehrere CA-Zertifikate eingebettet ist, müssen Sie die Serverzertifikate mit den zugehörigen Zertifizierungsstellen verknüpfen. Beim Anwenden des Kubernetes-Geheimnisses können Sie die Serverzertifikate mithilfe des Ingress Citrix ADC mit allen zugehörigen Zertifizierungsstellen verknüpfen. Durch die Verknüpfung der Serverzertifikate und Zertifizierungsstellen kann der Empfänger überprüfen, ob Absender und Zertifizierungsstellen vertrauenswürdig sind.

Im Folgenden finden Sie ein Beispiel für eine Ingress-Definition:

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: frontendssl
spec:
  rules:
  - host: frontend.com
    http:
      paths:
      - backend:
          service:
            name: frontend
            port:
              number: 443
        path: /web-frontend/frontend.php
        pathType: Prefix
  tls:
  - secretName: certchain1

<!--NeedCopy-->

Auf dem Citrix ADC können Sie überprüfen, ob dem Citrix ADC Zertifikate hinzugefügt wurden. Führen Sie folgende Schritte aus:

  1. Melden Sie sich bei der Citrix ADC-Befehlszeilenschnittstelle an.

  2. Überprüfen Sie mit dem folgenden Befehl, ob dem Citrix ADC Zertifikate hinzugefügt wurden:

    >show certkey
    

    Beispielausgaben finden Sie in der Citrix ADC-Dokumentation.

  3. Stellen Sie mit dem folgenden Befehl sicher, dass das Serverzertifikat und die Zertifizierungsstellen verknüpft sind:

    >show certlink
    

    Ausgang:

    1)  Cert Name: k8s-3KC24EQYHG6ZKEDAY5Y3SG26MT2   CA Cert Name: k8s-3KC24EQYHG6ZKEDAY5Y3SG2_ic1
    
    2)  Cert Name: k8s-3KC24EQYHG6ZKEDAY5Y3SG2_ic1   CA Cert Name: k8s-3KC24EQYHG6ZKEDAY5Y3SG2_ic2
    
Installieren, verknüpfen und aktualisieren Sie Zertifikate auf einem Citrix ADC mithilfe des Citrix Ingress Controller