Contrôleur d'entrée Citrix ADC

Installer, lier et mettre à jour des certificats sur un Citrix ADC à l’aide du Citrix ingress controller

Sur Ingress Citrix ADC, vous pouvez installer, lier et mettre à jour des certificats. De nombreux certificats de serveur sont signés par plusieurs autorités de certification hiérarchiques (CA). Cela signifie que les certificats forment une chaîne.

Une chaîne de certificats est une liste ordonnée de certificats contenant un certificat SSL et des certificats d’autorité de certification (CA). Il permet au destinataire de vérifier que l’expéditeur et toutes les autorités de certification sont fiables. La chaîne ou le chemin commence par le certificat SSL, et chaque certificat de la chaîne est signé par l’entité identifiée par le certificat suivant de la chaîne.

Tout certificat situé entre le certificat SSL et le certificat racine est appelé certificat de chaîne ou intermédiaire. Le certificat intermédiaire est le signataire ou l’émetteur du certificat SSL. Le certificat d’autorité de certification racine est le signataire ou l’émetteur du certificat intermédiaire.

Si le certificat intermédiaire n’est pas installé sur le serveur (où le certificat SSL est installé), il peut empêcher certains navigateurs, appareils mobiles et applications de faire confiance au certificat SSL. Pour rendre le certificat SSL compatible avec tous les clients, il est nécessaire que le certificat intermédiaire soit installé.

Chaîne de certificats

Liaison de certificats dans Kubernetes

Le Citrix ingress controller prend en charge le provisionnement et le renouvellement automatiques des certificats TLS à l’aide du gestionnaire de certificatsKubernetes. Il cert-manager émet des certificats provenant de différentes sources, telles que Let’s Encryptet HashiCorp Vault, et les convertit en secrets Kubernetes.

Le schéma suivant explique comment cert-manager exécute la gestion des certificats. Gestion des certificats

Lorsque vous créez un secret Kubernetes à partir d’un certificat PEM intégré à plusieurs certificats d’autorité de certification, vous devez lier les certificats de serveur aux autorités de certification associées. Lors de l’application du secret Kubernetes, vous pouvez lier les certificats de serveur à toutes les autorités de certification associées à l’aide de l’entrée Citrix ADC. La liaison des certificats de serveur et des autorités de certification permet au destinataire de vérifier si l’expéditeur et les autorités de certification sont fiables.

Voici un exemple de définition d’entrée :

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: frontendssl
spec:
  rules:
  - host: frontend.com
    http:
      paths:
      - backend:
          service:
            name: frontend
            port:
              number: 443
        path: /web-frontend/frontend.php
        pathType: Prefix
  tls:
  - secretName: certchain1

<!--NeedCopy-->

Sur Citrix ADC, vous pouvez vérifier si des certificats sont ajoutés à Citrix ADC. Procédez comme suit :

  1. Ouvrez une session sur l’interface de ligne de commande Citrix ADC.

  2. Vérifiez si les certificats sont ajoutés à Citrix ADC à l’aide de la commande suivante :

    >show certkey
    

    Pour obtenir des exemples de sortie, consultez la documentation Citrix ADC.

  3. Vérifiez que le certificat de serveur et les autorités de certification sont liés à l’aide de la commande suivante :

    >show certlink
    

    Sortie :

    1)  Cert Name: k8s-3KC24EQYHG6ZKEDAY5Y3SG26MT2   CA Cert Name: k8s-3KC24EQYHG6ZKEDAY5Y3SG2_ic1
    
    2)  Cert Name: k8s-3KC24EQYHG6ZKEDAY5Y3SG2_ic1   CA Cert Name: k8s-3KC24EQYHG6ZKEDAY5Y3SG2_ic2
    
Installer, lier et mettre à jour des certificats sur un Citrix ADC à l’aide du Citrix ingress controller