У меня Nginx Ingress Controller работает в кластере AWS EKS. Я пытаюсь включить Mutual SSL. Сертификат сервера, который мне нужно использовать, выдает ошибку SSL:
Error: exit status 1
2019/01/16 14:37:40 [notice] 3642#3642: ModSecurity-nginx v1.0.0
2019/01/16 14:37:40 [emerg] 3642#3642: SSL_CTX_use_certificate("/etc/ingress-controller/ssl/default-tls.pem") failed (SSL: error:140AB18E:SSL routines:SSL_CTX_use_certificate:ca md too weak)
nginx: [emerg] SSL_CTX_use_certificate("/etc/ingress-controller/ssl/default-tls.pem") failed (SSL: error:140AB18E:SSL routines:SSL_CTX_use_certificate:ca md too weak)
nginx: configuration file /tmp/nginx-cfg917440593 test failed
Когда я пытаюсь использовать самогенерируемый сертификат с sha256, он отлично работает. Существуют ли обходные пути, позволяющие контроллеру Ingress принимать более слабый сертификат? Я попытался отредактировать аннотацию "ssl-ciphers", но я все еще получаю ту же ошибку.
Это вход, который я использую:
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
annotations:
nginx.ingress.kubernetes.io/server-snippet: |
ssl_ciphers "ALL";
ssl_password_file /etc/ingress-controller/ssl/password/p.txt;
nginx.ingress.kubernetes.io/auth-tls-verify-client: "on"
nginx.ingress.kubernetes.io/auth-tls-secret: "default/ca"
nginx.ingress.kubernetes.io/auth-tls-verify-depth: "1"
nginx.ingress.kubernetes.io/force-ssl-redirect: "true"
name: test-ingress
namespace: default
spec:
rules:
- host: domain.com
http:
paths:
- backend:
serviceName: test-svc
servicePort: 80
path: /
tls:
- hosts:
- domain.com
secretName: tls
У кого-нибудь есть предложения по этому поводу?