Ingress Controller de Citrix ADC

Instalar, vincular y actualizar certificados en un Citrix ADC mediante el Citrix Ingress Controller

En Ingress Citrix ADC, puede instalar, vincular y actualizar certificados. Muchos certificados de servidor están firmados por varias entidades de certificación (CA) jerárquicas. Esto significa que los certificados forman una cadena.

Una cadena de certificados es una lista ordenada de certificados que contienen un certificado SSL y certificados de entidad de certificación (CA). Permite al receptor verificar que el remitente y todas las CA son fiables. La cadena o ruta comienza con el certificado SSL y cada certificado de la cadena está firmado por la entidad identificada por el siguiente certificado de la cadena.

Cualquier certificado que se encuentre entre el certificado SSL y el certificado raíz se denomina certificado en cadena o intermedio. El certificado intermedio es el firmante o el emisor del certificado SSL. El certificado de CA raíz es el firmante o el emisor del certificado intermedio.

Si el certificado intermedio no está instalado en el servidor (donde está instalado el certificado SSL), puede evitar que algunos exploradores, dispositivos móviles y aplicaciones confíen en el certificado SSL. Para que el certificado SSL sea compatible con todos los clientes, es necesario que el certificado intermedio esté instalado.

Cadena de certificados

Vinculación de certificados en Kubernetes

El Citrix Ingress Controller admite el aprovisionamiento y la renovación automáticos de certificados TLS mediante el administrador de certificadosde Kubernetes. cert-manager emite certificados de diferentes fuentes, como Let’s Encrypt y HashiCorp Vault, y los convierte en secretos de Kubernetes.

En el siguiente diagrama se explica cómo cert-manager lleva a cabo la administración de certificados. Administración de certificados

Cuando crea un secreto de Kubernetes a partir de un certificado PEM incrustado con varios certificados de CA, debe vincular los certificados del servidor con las CA asociadas. Al aplicar el secreto de Kubernetes, puede vincular los certificados del servidor con todas las CA asociadas mediante el Citrix ADC de entrada. La vinculación de los certificados de servidor y las CA permite al receptor verificar si el remitente y las CA son fiables.

A continuación se muestra un ejemplo de definición de Ingress:

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: frontendssl
spec:
  rules:
  - host: frontend.com
    http:
      paths:
      - backend:
          service:
            name: frontend
            port:
              number: 443
        path: /web-frontend/frontend.php
        pathType: Prefix
  tls:
  - secretName: certchain1

<!--NeedCopy-->

En Citrix ADC, puede verificar si los certificados se agregan a Citrix ADC. Lleve a cabo lo siguiente:

  1. Inicie sesión en la interfaz de línea de comandos de Citrix ADC.

  2. Compruebe si los certificados se agregan a Citrix ADC mediante el siguiente comando:

    >show certkey
    

    Para obtener resultados de ejemplo, consulte la documentación de Citrix ADC.

  3. Compruebe que el certificado del servidor y las CA estén vinculados mediante el siguiente comando:

    >show certlink
    

    Salida:

    1)  Cert Name: k8s-3KC24EQYHG6ZKEDAY5Y3SG26MT2   CA Cert Name: k8s-3KC24EQYHG6ZKEDAY5Y3SG2_ic1
    
    2)  Cert Name: k8s-3KC24EQYHG6ZKEDAY5Y3SG2_ic1   CA Cert Name: k8s-3KC24EQYHG6ZKEDAY5Y3SG2_ic2
    
Instalar, vincular y actualizar certificados en un Citrix ADC mediante el Citrix Ingress Controller