Я пытаюсь включить взаимную аутентификацию на основе TLS для приложения, развернутого в кластере Kubernetes.
Варианты использования:
- Хотите ограничить доступ к нашему приложению только тем пользователям, которым доверен клиентский сертификат.
- Исходя из определенных ситуаций / условий, я также хотел бы отозвать сертификат определенного пользователя, чтобы пользователь больше не мог получить доступ к приложению со своим сертификатом.
Я попытался настроить Mutual TLS на входном контроллере kuberentes (на основе nginx), добавив следующие аннотации.
nginx.ingress.kubernetes.io/auth-tls-verify-client: "on"
nginx.ingress.kubernetes.io/auth-tls-secret: "ca-cert"
ca-cert - это секрет kubernetes, содержащий сертификат CA, используемый для выдачи клиентских сертификатов. Таким образом, вход проверяет сертификат клиента, отправленный как часть запроса, против ca-cert.
Это очень хорошо работает для любых клиентских сертификатов, подписанных ca-cert. Я пытаюсь найти решение для процесса отзыва сертификата. Нужен совет по этому поводу.
Можно ли доверять отдельному сертификату клиента вместо сертификата CA во входе? Это поможет нам отозвать сертификаты отдельных клиентов.