Ingress Controller de Citrix ADC

Compatibilidad con la autenticación del servidor TLS en Citrix ADC mediante el Citrix Ingress Controller

Laautenticación del servidor permite que un cliente verifique la autenticidad del servidor web al que accede. Por lo general, el dispositivo Citrix ADC realiza la descarga y aceleración SSL en nombre de un servidor web y no autentica el certificado del servidor web. Sin embargo, puede autenticar el servidor en implementaciones que requieren cifrado SSL de extremo a extremo.

En tal situación, el dispositivo Citrix ADC se convierte en el cliente SSL y realiza lo siguiente:

  • lleva a cabo una transacción segura con el servidor SSL
  • verifica que una CA cuyo certificado está enlazado al servicio SSL haya firmado el certificado del servidor
  • comprueba la validez del certificado del servidor.

Para autenticar el servidor, primero debe habilitar la autenticación del servidor y luego vincular el certificado de la CA que firmó el certificado del servidor al servicio SSL en el dispositivo Citrix ADC. Al enlazar el certificado, debe especificar el enlace como una opción de CA.

Configuración de la autenticación del servidor TLS

Realice los siguientes pasos para configurar la autenticación del servidor TLS.

  1. Habilite la compatibilidad con TLS en Citrix ADC.

    El Citrix Ingress Controller utiliza la sección TLS en la definición de Ingress como habilitador para la compatibilidad con TLS con Citrix ADC. A continuación, se muestra un fragmento de muestra de la definición de Ingress:

    spec:
      tls:
       - secretName:
    
  2. Para generar un secreto de Kubernetes para un certificado existente, haga lo siguiente.

    1. Genere un certificado de cliente para usarlo con el servicio.

      kubectl create secret tls tea-beverage --cert=path/to/tls.cert --key=path/to/tls.key --namespace=default
      
    2. Genera un secreto para un certificado de CA existente. Este certificado es necesario para firmar el certificado del servidor back-end.

      kubectl create secret generic tea-ca --from-file=tls.crt=cacerts.pem
      

    Nota:

    Debe especificar tls.crt= al crear un secreto. El controlador de entrada de Citrix utiliza este archivo mientras analiza un secreto de CA.

  3. Habilite la comunicación back-end segura con el servicio mediante la siguiente anotación en la configuración de Ingress.

     ingress.citrix.com/secure-backend: "True" 
    
  4. Use la siguiente anotación para vincular el certificado al servicio SSL. Este certificado se usa cuando Citrix ADC actúa como cliente para enviar la solicitud al servidor back-end.

    ingress.citrix.com/backend-secret: '{"tea-beverage": "tea-beverage", "coffee-beverage": "coffee-beverage"}'
    
  5. Para habilitar la autenticación del servidor que autentica el certificado del servidor back-end, puede usar la siguiente anotación. Esta configuración vincula el certificado de CA del servidor al servicio SSL en Citrix ADC.

     ingress.citrix.com/backend-ca-secret: '{"coffee-beverage":"coffee-ca", "tea-beverage":"tea-ca"}
    
Compatibilidad con la autenticación del servidor TLS en Citrix ADC mediante el Citrix Ingress Controller