Citrix ADC ingress controller

Citrix ingress controller を使用してCitrix ADCに証明書をインストール、リンク、および更新する

Ingress Citrix ADC では、 証明書のインストール、リンク、および更新を行うことができます。多くのサーバー証明書は、複数の階層認証局 (CA) によって署名されています。これは、証明書がチェーンを形成することを意味します。

証明書チェーンは、SSL 証明書と認証局 (CA) 証明書を含む証明書を順番に並べたリストです。これにより、受信者は送信者とすべての CA が信頼できることを確認できます。チェーンまたはパスは SSL 証明書で始まり、チェーン内の各証明書は、チェーン内の次の証明書によって識別されるエンティティによって署名されます。

SSL 証明書とルート証明書の間にある証明書はすべて、チェーン証明書または中間証明書と呼ばれます。中間証明書は SSL 証明書の署名者または発行者です。ルート CA 証明書は、中間証明書の署名者または発行者です。

中間証明書が (SSL 証明書がインストールされている) サーバーにインストールされていない場合、一部のブラウザ、モバイルデバイス、およびアプリケーションが SSL 証明書を信頼できないことがあります。SSL 証明書をすべてのクライアントと互換性を持たせるには、中間証明書をインストールする必要があります。

証明書チェーン

Kubernetes での証明書のリンク

Citrix ingress controller は、Kubernetes 証明書マネージャーを使用したTLS 証明書の自動プロビジョニングと更新をサポートします。cert-managerは、 Let’s EncryptHashiCorp Vault など、さまざまなソースから証明書を発行し、Kubernetes シークレットに変換します。

次の図は、 cert-manager が証明書管理を実行する方法を示しています。 証明書管理

複数の CA 証明書が埋め込まれた PEM 証明書から Kubernetes シークレットを作成する場合、サーバー証明書を関連する CA にリンクする必要があります。 Kubernetes シークレットを適用する際に、Ingress Citrix ADC を使用して、サーバー証明書を関連するすべての CA にリンクできます。サーバ証明書と CA をリンクすると、受信者は送信者と CA が信頼できるかどうかを確認できます。

Ingress 定義の例を次に示します。

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: frontendssl
spec:
  rules:
  - host: frontend.com
    http:
      paths:
      - backend:
          service:
            name: frontend
            port:
              number: 443
        path: /web-frontend/frontend.php
        pathType: Prefix
  tls:
  - secretName: certchain1

<!--NeedCopy-->

Citrix ADCでは、証明書がCitrix ADCに追加されているかどうかを確認できます。以下の手順に従います。

  1. Citrix ADC コマンドラインインターフェイスにログオンします。

  2. 次のコマンドを使用して、証明書がCitrix ADCに追加されているかどうかを確認します。

    >show certkey
    

    出力例については、 Citrix ADC のドキュメントを参照してください

  3. 次のコマンドを使用して、サーバ証明書と CA がリンクされていることを確認します。

    >show certlink
    

    出力:

    1)  Cert Name: k8s-3KC24EQYHG6ZKEDAY5Y3SG26MT2   CA Cert Name: k8s-3KC24EQYHG6ZKEDAY5Y3SG2_ic1
    
    2)  Cert Name: k8s-3KC24EQYHG6ZKEDAY5Y3SG2_ic1   CA Cert Name: k8s-3KC24EQYHG6ZKEDAY5Y3SG2_ic2
    
Citrix ingress controller を使用してCitrix ADCに証明書をインストール、リンク、および更新する