Mancata corrispondenza del certificato in entrata

Stai visualizzando la documentazione di Apigee e Apigee hybrid.
Non esiste una documentazione equivalente di Apigee Edge per questo argomento.

Sintomo

Un ApigeeIssue con Reason AIS_INGRESS_CERT_MISMATCH viene mostrato durante la visualizzazione delle risorse nello spazio dei nomi apigee.

Messaggi di errore

Dopo l'esecuzione di kubectl -n apigee get apigeeissues, viene visualizzato il seguente errore: 

NAME                                          SEVERITY   REASON                      DOCUMENTATION                                                                           AGE
ingress-cert-mismatch-my-org-my-virtualhost   ERROR      AIS_INGRESS_CERT_MISMATCH   https://cloud.google.com/apigee/docs/hybrid/troubleshooting/AIS_INGRESS_CERT_MISMATCH   5h18m

Causa: mancata corrispondenza del certificato in entrata

La chiave privata e il certificato archiviati nel secret di Kubernetes a cui fa riferimento un ApigeeRouteConfig non corrispondono.

Diagnosi

Esegui questo comando: 

kubectl -n apigee describe apigeeissue ISSUE_NAME

Dove ISSUE_NAME è il nome del problema. Ad esempio, ingress-cert-mismatch-my-org-my-virtualhost.

Viene restituito un codice simile al seguente: 

Name:         ingress-cert-mismatch-my-org-my-virtualhost
Namespace:    apigee
Labels:       ais-reason=AIS_INGRESS_CERT_MISMATCH
Annotations:  <none>
API Version:  apigee.cloud.google.com/v1alpha1
Kind:         ApigeeIssue
Metadata:
  Creation Timestamp:  2023-06-12T17:03:43Z
  Generation:          1
  Owner References:
    API Version:     apigee.cloud.google.com/v1alpha2
    Kind:            ApigeeOrganization
    Name:            my-org
    UID:             7e83a52c-ce00-4bed-98be-55835ada1817
  Resource Version:  3281563
  UID:               adc775c2-376d-4bf9-9860-500b2b2b8273
Spec:
  Details:        Ingress cert and private key in secret "my-org-my-virtualhost" for ApigeeRouteConfig "my-org-my-virtualhost" do not match
  Documentation:  https://cloud.google.com/apigee/docs/hybrid/troubleshooting/AIS_INGRESS_CERT_MISMATCH
  Reason:         AIS_INGRESS_CERT_MISMATCH
  Severity:       ERROR
Events:           <none>
Spec:
  Details:        Ingress cert and private key in secret "my-org-my-virtualhost" for ApigeeRouteConfig "my-org-my-virtualhost" do not match

Il contenuto di Spec.Details spiega il nome del ApigeeRouteConfig che fa riferimento al secret di Kubernetes contenente il certificato in entrata e la chiave privata.

Risoluzione

  1. Usa kubectl describe per visualizzare il nome dell'ApigeeRouteConfig che ha una chiave e un certificato in entrata non corrispondenti: 

    kubectl -n apigee describe apigeeissue ISSUE_NAME

    Dove ISSUE_NAME è il nome del problema. Ad esempio, ingress-cert-mismatch-my-org-my-virtualhost.

    In questo esempio, ApigeeRouteConfig my-org-my-virtualhost fa riferimento al secret my-org-my-virtualhost.

  2. Determina il nome virtualhost da ApigeeRouteConfig.

    Il nome di ApigeeRouteConfig è nel formato: <Apigee organization>-<virtualhost name>.

    In questo esempio, my-org è l'organizzazione Apigee e il nome virtualhost è my-virtualhost.

  3. Trova il virtualhost corrispondente nel tuo overrides.yaml.

    virtualhosts:
...
- name: my-virtualhost
  selector:
    app: apigee-ingressgateway
  sslCertPath: ./certs/vhost.pem
  sslKeyPath: ./certs/vhost.key
...

  4. Verifica che i file del certificato e della chiave utilizzati corrispondano.

    Utilizzando sslCertPath e sslKeyPath del passaggio precedente, convalida la corrispondenza delle somme MD5 utilizzando openssl: 

    openssl x509 -noout -modulus -in SSL_CERT_PATH | openssl md5
    openssl rsa -noout -modulus -in SSL_KEY_PATH | openssl md5

    • Dove SSL_CERT_PATH è il valore sslCertPath del passaggio precedente. Ad esempio: ./certs/vhost.pem.
    • Dove SSL_KEY_PATH è il valore sslKeyPath del passaggio precedente. Ad esempio: ./certs/vhost.key.

    L'output dei due comandi precedenti dovrebbe corrispondere:

    openssl x509 -noout -modulus -in ./certs/vhost.pem | openssl md5
MD5(stdin)= 40ba189dbe9d6fbfbdde1a8ef803d2d4
    openssl rsa -noout -modulus -in ./certs/vhost.key | openssl md5
MD5(stdin)= 40ba189dbe9d6fbfbdde1a8ef803d2d4

  5. Se l'output dei comandi precedenti non corrisponde, utilizza uno dei seguenti metodi per risolvere il problema:

    • Aggiorna sslCertPath e sslKeyPath dell'host virtuale in modo che puntino ai percorsi di file corretti.
    • Correggi i contenuti dei file sslCertPath o sslKeyPath in modo che contengano il certificato e la coppia di chiavi corrispondenti.

  6. Applica le modifiche a virtualhost:

    Helm

    helm upgrade ENV_GROUP_NAME apigee-virtualhost/ \
  --namespace apigee \
  --set envgroup=ENV_GROUP_NAME \
  -f overrides.yaml

    apigeectl

    apigeectl apply -f overrides.yaml --settings virtualhosts

Deve raccogliere dati diagnostici

Se il problema persiste anche dopo aver seguito le istruzioni riportate sopra, raccogli le seguenti informazioni diagnostiche e contatta l'assistenza Apigee:

  1. L'ID progetto Google Cloud.
  2. Il nome dell'organizzazione ibrida Apigee.
  3. Il campo Spec.Details di ApigeeIssue.
  4. (Facoltativo) File a cui fanno riferimento sslCertPath e sslKeyPath per il virtualhost interessato.