我想在我的 AKS 群集中启用客户端证书身份验证,但我有一个我似乎不明白的基本问题。根据 docs,ingress 要求将 CA 证书存储在一个秘密中。我的问题是:假设我使用由受信任的 CA 颁发的客户端证书(这就是它的工作原理?CA 颁发他们签名的客户端证书?),为什么受信任的 CA 会给我他们的 CA 证书来存储在 AKS 集群中作为秘密? CA 是否只是将其证书分发给公众?这不是安全问题吗? (因为我可以使用该 CA 证书签署客户端证书)
答案 0 :(得分:1)
CA 证书 .crt 文件不包含私钥。它只包含公钥+证书信息,该信息是公开的,不能用于签署新证书。您可以安全地将 ca.crt 存储在 Kubernetes Secret 中,它只需要服务器证书的私钥。