Ingress Controller de Citrix ADC

Compatibilidad con la autenticación de clientes TLS en Citrix ADC

En la autenticación de clientes TLS, un servidor solicita un certificado válido del cliente para la autenticación y garantiza que solo puedan acceder a él las máquinas y los usuarios autorizados.

Puede habilitar la autenticación de clientes TLS mediante servidores virtuales basados en SSL de Citrix ADC. Con la autenticación de clientes habilitada en un servidor virtual SSL de Citrix ADC, Citrix ADC solicita el certificado de cliente durante el protocolo de enlace SSL. El dispositivo comprueba el certificado presentado por el cliente en busca de restricciones normales, como la firma del emisor y la fecha de caducidad.

En el siguiente diagrama se explica la función de autenticación de clientes TLS en Citrix ADC.

Autenticación cliente TLS

La autenticación del cliente TLS se puede configurar como obligatoria u opcional. Si la autenticación del cliente SSL se establece como obligatoria y el cliente SSL no proporciona un certificado de cliente válido, la conexión se interrumpe. Un certificado de cliente válido significa que está firmado o emitido por una entidad de certificación específica y que no ha caducado ni se ha revocado. Si está marcado como opcional, Citrix ADC solicita el certificado de cliente, pero la conexión no se pierde. Citrix ADC continúa con la transacción SSL incluso si el cliente no presenta un certificado o el certificado no es válido. La configuración opcional es útil para casos de autenticación como la autenticación de dos factores.

Configuración de la autenticación de clientes TLS

Realice los siguientes pasos para configurar la autenticación de clientes TLS.

  1. Habilite la compatibilidad con TLS en Citrix ADC.

    El Citrix Ingress Controller utiliza la sección TLS en la definición de Ingress como habilitador para la compatibilidad con TLS con Citrix ADC. A continuación, se muestra un fragmento de muestra de la definición de Ingress:

    spec:
      tls:
       - secretName:
    
  2. Aplique un certificado de CA al entorno de Kubernetes.

    Para generar un secreto de Kubernetes para un certificado existente, usa el siguiente comando kubectl:

        kubectl create secret generic tls-ca --from-file=tls.crt=cacerts.pem
    

    Nota:

    Debe especificar ‘tls.crt=’ al crear un secreto. El controlador de entrada de Citrix utiliza este archivo mientras analiza un secreto de CA.

  3. Configure Ingress para habilitar la autenticación de clientes.

    Debe especificar la siguiente anotación para adjuntar el secreto de CA generado que se usa para la autenticación de certificados de cliente para un servicio implementado en Kubernetes.

    ingress.citrix.com/ca-secret: '{"frontend-hotdrinks": "hotdrink-ca-secret"}' 
    

    De forma predeterminada, la autenticación de certificados de cliente se establece en mandatory, pero puede configurarla para que optional use la anotación frontend_sslprofile en la configuración front-end.

    ingress.citrix.com/frontend_sslprofile: '{"clientauth":"ENABLED", “clientcert”: “optional”}'
    

    Nota:

    frontend_sslprofile solo admite la configuración de entrada de front-end. Para obtener más información, consulte Configuración de front-end.

Compatibilidad con la autenticación de clientes TLS en Citrix ADC