Certificato in entrata non corrispondente

Stai visualizzando la documentazione di Apigee e Apigee hybrid.
Non esiste una equivalente documentazione di Apigee Edge per questo argomento.

Sintomo

Un ApigeeIssue con Reason AIS_INGRESS_CERT_MISMATCH viene visualizzato quando visualizzi le risorse nello spazio dei nomi apigee.

Messaggi di errore

Dopo aver eseguito kubectl -n apigee get apigeeissues, viene visualizzato il seguente errore:

NAME                                          SEVERITY   REASON                      DOCUMENTATION                                                                           AGE
ingress-cert-mismatch-my-org-my-virtualhost   ERROR      AIS_INGRESS_CERT_MISMATCH   https://cloud.google.com/apigee/docs/hybrid/troubleshooting/AIS_INGRESS_CERT_MISMATCH   5h18m

Causa: mancata corrispondenza del certificato Ingress

La chiave privata e il certificato archiviati nel secret Kubernetes a cui fa riferimento un ApigeeRouteConfig non corrispondono.

Diagnosi

Esegui questo comando:

kubectl -n apigee describe apigeeissue ISSUE_NAME

dove ISSUE_NAME è il nome del problema. Ad esempio, ingress-cert-mismatch-my-org-my-virtualhost.

Viene restituito un risultato simile al seguente:

Name:         ingress-cert-mismatch-my-org-my-virtualhost
Namespace:    apigee
Labels:       ais-reason=AIS_INGRESS_CERT_MISMATCH
Annotations:  <none>
API Version:  apigee.cloud.google.com/v1alpha1
Kind:         ApigeeIssue
Metadata:
  Creation Timestamp:  2023-06-12T17:03:43Z
  Generation:          1
  Owner References:
    API Version:     apigee.cloud.google.com/v1alpha2
    Kind:            ApigeeOrganization
    Name:            my-org
    UID:             7e83a52c-ce00-4bed-98be-55835ada1817
  Resource Version:  3281563
  UID:               adc775c2-376d-4bf9-9860-500b2b2b8273
Spec:
  Details:        Ingress cert and private key in secret "my-org-my-virtualhost" for ApigeeRouteConfig "my-org-my-virtualhost" do not match
  Documentation:  https://cloud.google.com/apigee/docs/hybrid/troubleshooting/AIS_INGRESS_CERT_MISMATCH
  Reason:         AIS_INGRESS_CERT_MISMATCH
  Severity:       ERROR
Events:           <none>
Spec:
  Details:        Ingress cert and private key in secret "my-org-my-virtualhost" for ApigeeRouteConfig "my-org-my-virtualhost" do not match

I contenuti di Spec.Details spiegano il nome del ApigeeRouteConfig che fa riferimento al secret Kubernetes contenente il traffico in entrata il certificato e la chiave privata.

Risoluzione

  1. Utilizza kubectl describe per visualizzare il nome del ApigeeRouteConfig con la chiave e il certificato di ingresso non corrispondenti:

    kubectl -n apigee describe apigeeissue ISSUE_NAME

    dove ISSUE_NAME è il nome del problema. Ad esempio: ingress-cert-mismatch-my-org-my-virtualhost.

    In questo esempio, ApigeeRouteConfig my-org-my-virtualhost fa riferimento al secret my-org-my-virtualhost.

  2. Stabilisci il nome virtualhost dal ApigeeRouteConfig.

    Il nome del ApigeeRouteConfig è nel formato: <Apigee organization>-<virtualhost name>.

    In questo esempio, my-org è l'organizzazione Apigee e il nome virtualhost è my-virtualhost.

  3. Trova il virtualhost corrispondente nel tuo overrides.yaml.

    virtualhosts:
    ...
    - name: my-virtualhost
      selector:
        app: apigee-ingressgateway
      sslCertPath: ./certs/vhost.pem
      sslKeyPath: ./certs/vhost.key
    ...
  4. Verifica che i file di certificato e chiave utilizzati corrispondano.

    Utilizzando i sslCertPath e le sslKeyPath del passaggio precedente, convalida la corrispondenza delle somme MD5 utilizzando openssl:

    openssl x509 -noout -modulus -in SSL_CERT_PATH | openssl md5
    openssl rsa -noout -modulus -in SSL_KEY_PATH | openssl md5

    • dove SSL_CERT_PATH è sslCertPath del passaggio precedente. Ad esempio: ./certs/vhost.pem.
    • dove SSL_KEY_PATH è sslKeyPath del passaggio precedente. Ad esempio: ./certs/vhost.key.

    L'output dei due comandi precedenti dovrebbe corrispondere:

    openssl x509 -noout -modulus -in ./certs/vhost.pem | openssl md5
    MD5(stdin)= 40ba189dbe9d6fbfbdde1a8ef803d2d4
    openssl rsa -noout -modulus -in ./certs/vhost.key | openssl md5
    MD5(stdin)= 40ba189dbe9d6fbfbdde1a8ef803d2d4
  5. Se l'output dei comandi precedenti non corrisponde, utilizza uno dei seguenti metodi per correggi il problema:

    • Aggiorna sslCertPath e sslKeyPath del virtualhost in modo che rimandino ai percorsi dei file corretti.
    • Correggi i contenuti del file sslCertPath o sslKeyPath in modo che contengano la coppia di chiavi e il certificato corrispondenti corretti.
  6. Applica le modifiche al virtualhost:

    Helm

    helm upgrade ENV_GROUP_NAME apigee-virtualhost/ \
      --namespace apigee \
      --set envgroup=ENV_GROUP_NAME \
      -f overrides.yaml

    apigeectl

    apigeectl apply -f overrides.yaml --settings virtualhosts

Raccogliere dati diagnostici

Se il problema persiste anche dopo aver seguito le istruzioni riportate sopra, raccogli le seguenti informazioni di diagnostica e poi contatta l'assistenza clienti Google Cloud:

  1. L'ID progetto Google Cloud.
  2. Il nome dell'organizzazione Apigee ibrida.
  3. Il campo Spec.Details di ApigeeIssue.
  4. (Facoltativo) I file a cui fa riferimento sslCertPath e sslKeyPath per virtualhost interessato.