Citrix ADC Ingress Controller

Unterstützung der TLS-Serverauthentifizierung in Citrix ADC mithilfe des Citrix Ingress Controller

Mit derServerauthentifizierung kann ein Client die Authentizität des Webservers überprüfen, auf den er zugreift. Normalerweise führt das Citrix ADC-Gerät SSL-Offload und -Beschleunigung im Namen eines Webservers durch und authentifiziert das Zertifikat des Webservers nicht. Sie können den Server jedoch in Bereitstellungen authentifizieren, die eine End-to-End-SSL-Verschlüsselung erfordern.

In einer solchen Situation wird das Citrix ADC-Gerät zum SSL-Client und führt Folgendes aus:

  • führt eine sichere Transaktion mit dem SSL-Server durch
  • überprüft, ob eine Zertifizierungsstelle, deren Zertifikat an den SSL-Dienst gebunden ist, das Serverzertifikat signiert hat
  • prüft die Gültigkeit des Serverzertifikats.

Um den Server zu authentifizieren, müssen Sie zuerst die Serverauthentifizierung aktivieren und dann das Zertifikat der Zertifizierungsstelle, die das Zertifikat des Servers signiert hat, an den SSL-Dienst auf der Citrix ADC Appliance binden. Wenn Sie das Zertifikat binden, müssen Sie die Bindung als CA-Option angeben.

Konfigurieren der TLS-Serverauthentifizierung

Führen Sie zum Konfigurieren der TLS-Serverauthentifizierung die folgenden Schritte aus.

  1. Aktivieren Sie die TLS-Unterstützung in Citrix ADC.

    Der Citrix Ingress Controller verwendet den TLS-Abschnitt in der Ingress-Definition als Enabler für die TLS-Unterstützung mit Citrix ADC. Das Folgende ist ein Beispielausschnitt der Ingress-Definition:

    spec:
      tls:
       - secretName:
    
  2. Um einen Kubernetes-Schlüssel für ein vorhandenes Zertifikat zu generieren, gehen Sie wie folgt vor.

    1. Generieren Sie ein Clientzertifikat, das mit dem Dienst verwendet werden soll.

      kubectl create secret tls tea-beverage --cert=path/to/tls.cert --key=path/to/tls.key --namespace=default
      
    2. Generieren Sie ein Secret für ein vorhandenes CA-Zertifikat. Dieses Zertifikat ist erforderlich, um das Back-End-Serverzertifikat zu signieren.

      kubectl create secret generic tea-ca --from-file=tls.crt=cacerts.pem
      

    Hinweis:

    Sie müssen tls.crt= beim Erstellen eines geheimen Schlüssels angeben. Diese Datei wird vom Citrix Ingress Controller beim Analysieren eines CA-Geheimnisses verwendet.

  3. Aktivieren Sie mithilfe der folgenden Anmerkung in der Ingress-Konfiguration eine sichere Back-End-Kommunikation mit dem Dienst.

     ingress.citrix.com/secure-backend: "True" 
    
  4. Verwenden Sie die folgende Anmerkung, um das Zertifikat an den SSL-Dienst zu binden. Dieses Zertifikat wird verwendet, wenn der Citrix ADC als Client fungiert, um die Anforderung an den Backend-Server zu senden.

    ingress.citrix.com/backend-secret: '{"tea-beverage": "tea-beverage", "coffee-beverage": "coffee-beverage"}'
    
  5. Um die Serverauthentifizierung zu aktivieren, die das Back-End-Serverzertifikat authentifiziert, können Sie die folgende Anmerkung verwenden. Diese Konfiguration bindet das CA-Zertifikat des Servers an den SSL-Dienst auf dem Citrix ADC.

     ingress.citrix.com/backend-ca-secret: '{"coffee-beverage":"coffee-ca", "tea-beverage":"tea-ca"}
    
Unterstützung der TLS-Serverauthentifizierung in Citrix ADC mithilfe des Citrix Ingress Controller