使用用户提供的证书设置双向 TLS

有效的客户端证书必须显示信任链,该链会一直延伸到信任存储区中的信任锚点(根证书)。本页介绍了如何使用 OpenSSL 库配置自己的根证书和中间证书,以创建自己的信任链。

创建信任根后,本文档将简要介绍将其上传到 Certificate Manager TrustConfig 资源信任存储区的过程。接下来,将信任配置关联到客户端身份验证 (ServerTLSPolicy) 资源,然后将客户端身份验证资源附加到负载均衡器的目标 HTTPS 代理资源。

准备工作

  • 查看双向 TLS 概览
  • 查看管理信任配置指南。
  • 安装 Google Cloud CLI。如需全面了解此工具,请参阅 gcloud CLI 概览。您可以在 API 和 gcloud CLI 参考文档中找到与负载均衡相关的命令。

    如果您之前未运行过 gcloud CLI,请先运行 gcloud init 命令进行身份验证。

  • 启用以下 API:Compute Engine API、Certificate Manager API、Network Security 和 Network Services API。如需了解详情,请参阅启用 API

  • 如果您使用的是全球外部应用负载均衡器或传统版应用负载均衡器,请确保您已使用以下任一受支持的后端设置负载均衡器:

    • 虚拟机实例组后端
    • Cloud Storage 存储桶(只有在以下情况下才受支持:除后端存储桶外,至少还有一个后端服务也连接到负载均衡器)
    • Cloud Run、App Engine 或 Cloud Run functions
    • 混合连接
  • 如果您使用的是区域级外部应用负载均衡器、跨区域内部应用负载均衡器或区域级内部应用负载均衡器,请确保您已设置负载均衡器,并使用以下任一受支持的后端:

    • 虚拟机实例组后端
    • Cloud Run
    • 混合连接
  • 设置项目。

    gcloud

    gcloud config set project PROJECT_ID
    

权限

如需获得完成本指南所需的权限,请让您的管理员为您授予项目的以下 IAM 角色:

  • Compute Load Balancer Admin (roles/compute.loadBalancerAdmin)(如需创建负载均衡器资源,例如 TargetHTTPSProxy
  • Certificate Manager Owner (roles/certificatemanager.owner)(如需使用证书管理器资源)
  • Compute Network Admin (roles/compute.networkAdmin) 和 Compute Security Admin (roles/compute.securityAdmin)(如需创建安全和网络组件)
  • Project Creator (roles/resourcemanager.projectCreator)(如需创建项目)(可选)

如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

创建根证书和中间证书

本部分使用 OpenSSL 库创建根证书(信任锚)和中间证书。

根证书位于证书链的顶部。中间证书是返回根证书的信任链的一部分。中间证书由根证书进行加密签名。当负载均衡器收到客户端证书时,会通过从客户端证书建立信任链(一直延伸到配置的信任锚)来验证该证书。

使用以下命令创建根证书和中间证书。创建中间证书是可选操作。不过,在此设置中,我们使用中间证书对客户端证书进行签名

  1. 创建一个 OpenSSL 配置文件

    在以下示例中,配置文件 (example.cnf) 包含 [ca_exts] 部分,其中指定了将证书标记为适合 CA 的 X.509 扩展。如需详细了解根证书和中间证书的要求,请参阅证书要求

    cat > example.cnf << EOF
    [req]
    distinguished_name = empty_distinguished_name
    
    [empty_distinguished_name]
    # Kept empty to allow setting via -subj command line arg.
    
    [ca_exts]
    basicConstraints=critical,CA:TRUE
    keyUsage=keyCertSign
    extendedKeyUsage=clientAuth
    
    EOF
    
  2. 创建自签名 X.509 根证书 (root.cert)。根证书使用自己的私钥 (root.key) 进行自签名。

    openssl req -x509 \
        -new -sha256 -newkey rsa:2048 -nodes \
        -days 3650 -subj '/CN=root' \
        -config example.cnf \
        -extensions ca_exts \
        -keyout root.key -out root.cert
    
  3. 为中间证书创建证书签名请求 (int.req)。

    openssl req -new \
        -sha256 -newkey rsa:2048 -nodes \
        -subj '/CN=int' \
        -config example.cnf \
        -extensions ca_exts \
        -keyout int.key -out int.req
    
  4. 对 CSR 进行签名以创建 X.509 中间证书 (int.cert)。CSR 使用根证书进行签名。

    openssl x509 -req \
        -CAkey root.key -CA root.cert \
        -set_serial 1 \
        -days 3650 \
        -extfile example.cnf \
        -extensions ca_exts \
        -in int.req -out int.cert
    

创建可添加到许可名单的自签名证书

您可以创建自签名证书,并将其添加到信任配置中的许可名单

使用以下 OpenSSL 命令创建自签名 X.509 证书。

   openssl req -x509 \
       -new -sha256 -newkey rsa:2048 -nodes \
       -days 3650 -subj '/CN=localhost' \
       -keyout allowlisted.key -out allowlisted.cert

然后,此证书会添加到信任配置中的 allowlistedCertificates 字段

设置证书格式

如需在 TrustStore 中添加新证书或现有证书,请将证书格式设置为单行并将它们存储在环境变量中,以便信任配置 YAML 文件可以引用它们。

export ROOT_CERT=$(cat root.cert | sed 's/^[ ]*//g' | tr '\n' $ | sed 's/\$/\\n/g')
export INTERMEDIATE_CERT=$(cat int.cert | sed 's/^[ ]*//g' | tr '\n' $ | sed 's/\$/\\n/g')

如需在信任配置中添加已列入许可名单的新证书或现有证书,请将证书格式设置为单行并将它们存储在环境变量中,以便证书可以读入 YAML 文件中。对于已列入许可名单的证书,请使用以下命令将证书格式设置为单行并将其存储在 ALLOWLISTED_CERT 环境变量中。

export ALLOWLISTED_CERT=$(cat allowlisted.cert | sed 's/^[ ]*//g' | tr '\n' $ | sed 's/\$/\\n/g')

创建信任配置资源

信任配置是一项资源,表示证书管理器中您可用于双向 TLS 身份验证场景的公钥基础架构 (PKI) 配置。

如需创建信任配置资源,请完成以下步骤:

控制台

  1. 在 Google Cloud 控制台中,前往证书管理器页面。

    前往 Certificate Manager

  2. Trust Configs 标签页上,点击 Add Trust Config

  3. 输入配置名称。

  4. 对于位置,选择全球区域级

    该位置表示信任配置资源的存储位置。对于全球外部应用负载平衡器、传统应用负载平衡器和跨区域内部应用负载平衡器,请创建全局信任配置资源。对于区域级外部应用负载平衡器和区域级内部应用负载平衡器,请创建区域信任配置资源。

    如果您选择了区域级,请选择相应区域。

  5. 信任库部分中,点击添加信任锚,然后上传 PEM 编码的证书文件,或复制证书的内容。

  6. 点击添加

  7. 信任库部分,点击添加中间 CA,然后上传 PEM 编码的证书文件,或复制证书的内容。

    通过此步骤,您可以在根证书和服务器证书之间添加另一层信任。

  8. 点击添加以添加中间 CA。

  9. 可选:在许可名单中的证书部分中,点击添加证书并上传 PEM 编码的证书文件,或复制证书的内容。

  10. 点击添加以添加列入许可名单的证书。

  11. 点击创建

验证新的信任配置资源是否显示在配置列表中。

gcloud

  1. 创建一个用于指定信任配置参数的信任配置 YAML 文件 (trust_config.yaml)。此示例信任配置资源包含一个包含信任锚和中间证书的受信任证书存储区。它会从上一步设置证书格式中创建的环境变量读取证书内容。

    cat << EOF > trust_config.yaml
    trustStores:
    - trustAnchors:
      - pemCertificate: "${ROOT_CERT?}"
      intermediateCas:
      - pemCertificate: "${INTERMEDIATE_CERT?}"
    EOF
    

    如需创建包含其他信任锚或中间证书的信任库,请在相应的部分中添加 pemCertificate 行。

  2. 可选:在 allowlistedCertificates 字段中指定要添加到信任配置 YAML 文件中的证书。您无需信任库即可将证书添加到许可名单中。

    cat << EOF >> trust_config.yaml
    allowlistedCertificates:
    - pemCertificate: "${ALLOWLISTED_CERT?}"
    EOF
    

    已列入许可名单的证书表示可封装在信任配置中以便始终被视为有效的任何证书。您可以使用 pemCertificate 字段的多个实例在许可名单中指定多个证书。

  3. 如需导入信任配置 YAML 文件,请使用 gcloud certificate-manager trust-configs import 命令

    全局

    对于全球外部应用负载平衡器、传统应用负载平衡器和跨区域内部应用负载平衡器,请将 global 指定为存储信任配置资源的位置。

    gcloud certificate-manager trust-configs import TRUST_CONFIG_NAME  \
        --source=trust_config.yaml \
        --location=global
    

    替换以下内容:

    • TRUST_CONFIG_NAME:信任配置资源的名称。

    区域级

    对于区域级外部应用负载平衡器和区域级内部应用负载平衡器,请指定存储信任配置资源的区域。

    gcloud certificate-manager trust-configs import TRUST_CONFIG_NAME  \
        --source=trust_config.yaml \
        --location=LOCATION
    

    替换以下内容:

    • TRUST_CONFIG_NAME:信任配置资源的名称。
    • LOCATION:存储信任配置资源的区域。默认位置是 global

创建客户端身份验证资源

借助客户端身份验证(也称为 ServerTLSPolicy)资源,您可以指定在验证客户端证书时使用的服务器端 TLS 模式和信任配置资源。当客户端向负载均衡器提供无效证书或没有证书时,clientValidationMode 指定客户端连接的处理方式。如需了解详情,请参阅 mTLS 客户端验证模式

  • clientValidationMode 设置为 ALLOW_INVALID_OR_MISSING_CLIENT_CERT 时,即使验证失败或缺少客户端证书,所有请求都会传递给后端。
  • clientValidationMode 设置为 REJECT_INVALID 时,只有提供能够针对 TrustConfig 资源进行验证的客户端证书的请求才会传递给后端。

如需创建客户端身份验证 (ServerTlsPolicy) 资源,请完成以下步骤:

控制台

  1. 在 Google Cloud 控制台中,进入客户端身份验证页面。

    前往“客户端身份验证”页面

  2. 点击创建客户端身份验证

  3. 为客户端身份验证资源输入名称。

  4. 对于位置,选择全球区域级

    对于全球外部应用负载平衡器、传统应用负载平衡器和跨区域内部应用负载平衡器,请将位置设置为全球。对于区域级外部应用负载均衡器和区域级内部应用负载均衡器,请将位置设置为配置负载均衡器的区域。

  5. 对于客户端身份验证模式,请选择负载均衡

  6. 选择客户端验证模式。

  7. 选择您之前创建的信任配置资源。

  8. 点击创建

验证是否已显示“客户端身份验证”(ServerTlsPolicy)。

gcloud

  1. 根据您希望处理连接的方式,选择以下选项之一,以 YAML 格式定义客户端身份验证 (ServerTlsPolicy) 资源。

    • 方法 1clientValidationMode 设置为 ALLOW_INVALID_OR_MISSING_CLIENT_CERT

      全局

      对于全球外部应用负载平衡器、传统版应用负载平衡器和跨区域内部应用负载平衡器,请创建一个 YAML 文件,以声明方式指定客户端验证模式和全局信任配置资源:

      cat << EOF > server_tls_policy.yaml
      name: SERVER_TLS_POLICY_NAME
      mtlsPolicy:
          clientValidationMode: ALLOW_INVALID_OR_MISSING_CLIENT_CERT
          clientValidationTrustConfig: projects/PROJECT_ID/locations/global/trustConfigs/TRUST_CONFIG_NAME
      EOF
      

      区域级

      对于区域级外部应用负载平衡器和区域级内部应用负载平衡器,请创建一个 YAML 文件,以声明方式指定客户端验证模式和区域信任配置资源:

      cat << EOF > server_tls_policy.yaml
      name: SERVER_TLS_POLICY_NAME
      mtlsPolicy:
          clientValidationMode: ALLOW_INVALID_OR_MISSING_CLIENT_CERT
          clientValidationTrustConfig: projects/PROJECT_ID/locations/REGION/trustConfigs/TRUST_CONFIG_NAME
      EOF
      
    • 方法 2:将 clientValidationMode 设置为 REJECT_INVALID

      全局

      对于全球外部应用负载平衡器、传统版应用负载平衡器和跨区域内部应用负载平衡器,请创建一个 YAML 文件,以声明方式指定客户端验证模式和全局信任配置资源:

      cat << EOF > server_tls_policy.yaml
      name: SERVER_TLS_POLICY_NAME
      mtlsPolicy:
          clientValidationMode: REJECT_INVALID
          clientValidationTrustConfig: projects/PROJECT_ID/locations/global/trustConfigs/TRUST_CONFIG_NAME
      EOF
      

      区域级

      对于区域级外部应用负载平衡器和区域级内部应用负载平衡器,请创建一个 YAML 文件,以声明方式指定客户端验证模式和区域信任配置资源:

      cat << EOF > server_tls_policy.yaml
      name: SERVER_TLS_POLICY_NAME
      mtlsPolicy:
            clientValidationMode: REJECT_INVALID
            clientValidationTrustConfig: projects/PROJECT_ID/locations/REGION/trustConfigs/TRUST_CONFIG_NAME
      EOF
      

      替换以下内容:

      SERVER_TLS_POLICY_NAME:客户端身份验证 (ServerTlsPolicy) 资源的名称。

      PROJECT_ID:您的 Google Cloud 项目的 ID。

      LOCATION:对于全球外部应用负载平衡器、传统应用负载平衡器和跨区域内部应用负载平衡器,请使用 global。对于区域级外部应用负载均衡器或区域级内部应用负载均衡器,请使用您在其中配置了负载均衡器的区域。

      TRUST_CONFIG_NAME:您之前创建的信任配置资源的名称。

  2. 如需导入客户端身份验证 ServerTlsPolicy 资源,请使用 gcloud network-security server-tls-policies import 命令

    全局

    对于全球外部应用负载平衡器、传统应用负载平衡器和跨区域内部应用负载平衡器,请将 --location 标志设置为 global

    gcloud network-security server-tls-policies import SERVER_TLS_POLICY_NAME \
      --source=server_tls_policy.yaml \
      --location=global
    

    替换以下内容:

    SERVER_TLS_POLICY_NAME:客户端身份验证 (ServerTlsPolicy) 资源的名称。

    区域级

    对于区域级外部应用负载均衡器和区域级内部应用负载均衡器,请将 --location 标志设置为负载均衡器的配置区域。

    gcloud network-security server-tls-policies import SERVER_TLS_POLICY_NAME \
      --source=server_tls_policy.yaml \
      --location=LOCATION
    

    替换以下内容:

    SERVER_TLS_POLICY_NAME:客户端身份验证 (ServerTlsPolicy) 资源的名称。

  3. 可选:如需列出所有客户端身份验证 (ServerTlsPolicies) 资源,请使用 gcloud network-security server-tls-policies list 命令

    gcloud network-security server-tls-policies list \
      --location=LOCATION
    

    替换以下内容:

    LOCATION:对于全球外部应用负载平衡器、传统应用负载平衡器和跨区域内部应用负载平衡器,请使用 global。对于区域级外部应用负载平衡器或区域级内部应用负载平衡器,请使用您在其中配置了负载平衡器的区域。

将客户端身份验证资源附加到负载均衡器

要使双向 TLS 身份验证正常运行,在设置负载均衡器后,您需要将客户端身份验证 (ServerTLSPolicy) 资源附加到负载均衡器的目标 HTTPS 代理资源。

控制台

  1. 在 Google Cloud 控制台中,转到负载均衡页面。

    转到“负载均衡”

  2. 从负载均衡器列表中,选择您需要将客户端身份验证 (ServerTLSPolicy) 资源附加到的负载均衡器。

  3. 点击修改

  4. 在 HTTPS 前端的前端配置部分中,展开显示高级功能部分。

  5. Client Authentication(客户端身份验证)列表中,选择 Client Authentication 资源。

  6. 点击完成

  7. 点击更新

gcloud

  1. 如需列出项目中的所有目标 HTTPS 代理资源,请使用 gcloud compute target-https-proxies list 命令

    gcloud compute target-https-proxies list
    

    记下目标 HTTPS 代理的名称,用于附加 ServerTLSPolicy 资源。此名称在后面的步骤中称为 TARGET_HTTPS_PROXY_NAME

  2. 如需将目标 HTTPS 代理的配置导出到文件,请使用 gcloud compute target-https-proxies export 命令

    全局

      gcloud compute target-https-proxies export TARGET_HTTPS_PROXY_NAME \
          --destination=TARGET_PROXY_FILENAME \
          --global
      

    替换以下内容:

    • TARGET_HTTPS_PROXY_NAME:目标代理的名称。
    • TARGET_PROXY_FILENAME:目标代理的配置文件的名称(采用 YAML 格式)。例如 mtls_target_proxy.yaml

    区域级

    gcloud compute target-https-proxies export TARGET_HTTPS_PROXY_NAME \
        --destination=TARGET_PROXY_FILENAME \
        --region=REGION
    

    替换以下内容:

    • TARGET_HTTPS_PROXY_NAME:目标代理的名称。
    • TARGET_PROXY_FILENAME:目标代理的配置文件的名称(采用 YAML 格式)。例如 mtls_target_proxy.yaml
    • REGION:您在其中配置了负载均衡器的区域。
  3. 如需列出所有客户端身份验证 (ServerTlsPolicy) 资源,请使用 gcloud network-security server-tls-policies list 命令

    gcloud network-security server-tls-policies list \
        --location=LOCATION
    

    替换以下内容:

    LOCATION:对于跨区域内部应用负载平衡器、全球外部应用负载平衡器或传统应用负载平衡器,请使用 global。对于区域级外部应用负载均衡器或区域级内部应用负载均衡器,请使用您在其中配置了负载均衡器的区域。

    记下客户端身份验证 (ServerTLSPolicy) 资源的名称,用于配置 mTLS。此名称在下一步中称为 SERVER_TLS_POLICY_NAME

  4. 将客户端身份验证 (ServerTlsPolicy) 附加到目标 HTTPS 代理。

    echo "serverTlsPolicy: //networksecurity.googleapis.com/projects/PROJECT_ID/locations/LOCATION/serverTlsPolicies/SERVER_TLS_POLICY_NAME" >> TARGET_PROXY_FILENAME

    替换以下内容:

    • PROJECT_ID:您的 Google Cloud 项目的 ID。
    • LOCATION:对于全球外部应用负载平衡器或传统应用负载平衡器以及跨区域内部应用负载平衡器,请使用 global。对于区域级外部应用负载均衡器或区域级内部应用负载均衡器,请使用您在其中配置了负载均衡器的区域。
    • SERVER_TLS_POLICY_NAME:客户端身份验证 (ServerTLSPolicy) 资源的名称。
    • TARGET_PROXY_FILENAME:目标代理的配置文件的名称(采用 YAML 格式)。
  5. 如需从文件导入目标 HTTPS 代理的配置,请使用 gcloud compute target-https-proxies import 命令

    全局

      gcloud compute target-https-proxies import TARGET_HTTPS_PROXY_NAME \
          --source=TARGET_PROXY_FILENAME \
          --global
      

    替换以下内容:

    • TARGET_HTTPS_PROXY_NAME:目标代理的名称。
    • TARGET_PROXY_FILENAME:目标代理的配置文件的名称(采用 YAML 格式)。例如 mtls_target_proxy.yaml

    区域级

      gcloud compute target-https-proxies import TARGET_HTTPS_PROXY_NAME \
          --source=TARGET_PROXY_FILENAME \
          --region=REGION
      

    替换以下内容:

    • TARGET_HTTPS_PROXY_NAME:目标代理的名称。
    • TARGET_PROXY_FILENAME:目标代理的配置文件的名称(采用 YAML 格式)。例如 mtls_target_proxy.yaml
    • REGION:您在其中配置了负载均衡器的区域。

添加 mTLS 自定义标头

启用 mTLS 后,您可以使用自定义标头传递 mTLS 连接的相关信息。您还可以启用日志记录,以便在日志中捕获 mTLS 连接失败

向后端服务添加 mTLS 自定义标头

对于全球外部应用负载均衡器或传统版应用负载均衡器,您可以使用 自定义标头将 mTLS 连接的相关信息传递给后端服务

  1. 如需列出项目中的所有后端服务,请使用 gcloud compute backend-services list 命令

    gcloud compute backend-services list
    

    记下后端服务的名称,用于启用自定义标头和日志记录。此名称在后面的步骤中称为 BACKEND_SERVICE

  2. 如需更新后端服务,请使用 gcloud compute backend-services update 命令

    gcloud compute backend-services update BACKEND_SERVICE \
      --global \
      --enable-logging \
      --logging-sample-rate=1 \
      --custom-request-header='X-Client-Cert-Present:{client_cert_present}' \
      --custom-request-header='X-Client-Cert-Chain-Verified:{client_cert_chain_verified}' \
      --custom-request-header='X-Client-Cert-Error:{client_cert_error}' \
      --custom-request-header='X-Client-Cert-Hash:{client_cert_sha256_fingerprint}' \
      --custom-request-header='X-Client-Cert-Serial-Number:{client_cert_serial_number}' \
      --custom-request-header='X-Client-Cert-SPIFFE:{client_cert_spiffe_id}' \
      --custom-request-header='X-Client-Cert-URI-SANs:{client_cert_uri_sans}' \
      --custom-request-header='X-Client-Cert-DNSName-SANs:{client_cert_dnsname_sans}' \
      --custom-request-header='X-Client-Cert-Valid-Not-Before:{client_cert_valid_not_before}' \
      --custom-request-header='X-Client-Cert-Valid-Not-After:{client_cert_valid_not_after}'
    

将 mTLS 自定义标头添加到网址映射

对于跨区域内部应用负载均衡器、区域级外部应用负载均衡器或区域级内部应用负载均衡器,您可以使用 自定义标头将有关 mTLS 连接的信息传递给网址映射

如需列出项目中的所有网址映射,请使用 gcloud compute url-maps list 命令

   gcloud compute url-maps list
   

记下网址映射的名称,以便启用自定义标头和日志记录。此名称在后面的步骤中称为 URL_MAP_NAME

全局

如需修改跨区域内部应用负载均衡器的网址映射,请使用 gcloud compute url-maps edit 命令:

   gcloud compute url-maps edit URL_MAP_NAME --global
   

以下示例 YAML 文件展示了如何在自定义请求标头 (requestHeadersToAdd) 中使用变量。您可以使用相同的变量发送自定义响应标头 (responseHeadersToAdd)。

   headerAction:
      requestHeadersToAdd:
      - headerName: "X-Client-Cert-Present"
        headerValue: "{client_cert_present}"
      - headerName: "X-Client-Cert-Chain-Verified"
        headerValue: "{client_cert_chain_verified}"
      - headerName: "X-Client-Cert-Error"
        headerValue: "{client_cert_error}"
      - headerName: "X-Client-Cert-Hash"
        headerValue: "{client_cert_sha256_fingerprint}"
      - headerName: "X-Client-Cert-Serial-Number"
        headerValue: "{client_cert_serial_number}"
      - headerName: "X-Client-Cert-SPIFFE"
        headerValue: "{client_cert_spiffe_id}"
      - headerName: "X-Client-Cert-URI-SANs"
        headerValue: "{client_cert_uri_sans}"
      - headerName: "X-Client-Cert-DNSName-SANs"
        headerValue: "{client_cert_dnsname_sans}"
      - headerName: "X-Client-Cert-Valid-Not-Before"
        headerValue: "{client_cert_valid_not_before}"
      - headerName: "X-Client-Cert-Valid-Not-After"
        headerValue: "{client_cert_valid_not_after}"
      - headerName: "X-Client-Cert-Issuer-Dn"
        headerValue: "{client_cert_issuer_dn}"
      - headerName: "X-Client-Cert-Subject-Dn"
        headerValue: "{client_cert_subject_dn}"
      - headerName: "X-Client-Cert-Leaf"
        headerValue: "{client_cert_leaf}"
      - headerName: "X-Client-Cert-Chain"
        headerValue: "{client_cert_chain}"
   

区域级

如需修改区域级外部应用负载均衡器或区域级内部应用负载均衡器的网址映射,请使用 gcloud compute url-maps edit 命令:

   gcloud compute url-maps edit URL_MAP_NAME --region=REGION
   

以下示例 YAML 文件展示了如何在自定义请求标头 (requestHeadersToAdd) 中使用变量。您可以使用相同的变量发送自定义响应标头 (responseHeadersToAdd)。

   defaultService: regions/REGION/backendServices/BACKEND_SERVICE_1
      name: regional-lb-map
      region: region/REGION
   headerAction:
      requestHeadersToAdd:
      - headerName: "X-Client-Cert-Present"
        headerValue: "{client_cert_present}"
      - headerName: "X-Client-Cert-Chain-Verified"
        headerValue: "{client_cert_chain_verified}"
      - headerName: "X-Client-Cert-Error"
        headerValue: "{client_cert_error}"
      - headerName: "X-Client-Cert-Hash"
        headerValue: "{client_cert_sha256_fingerprint}"
      - headerName: "X-Client-Cert-Serial-Number"
        headerValue: "{client_cert_serial_number}"
      - headerName: "X-Client-Cert-SPIFFE"
        headerValue: "{client_cert_spiffe_id}"
      - headerName: "X-Client-Cert-URI-SANs"
        headerValue: "{client_cert_uri_sans}"
      - headerName: "X-Client-Cert-DNSName-SANs"
        headerValue: "{client_cert_dnsname_sans}"
      - headerName: "X-Client-Cert-Valid-Not-Before"
        headerValue: "{client_cert_valid_not_before}"
      - headerName: "X-Client-Cert-Valid-Not-After"
        headerValue: "{client_cert_valid_not_after}"
      - headerName: "X-Client-Cert-Issuer-Dn"
        headerValue: "{client_cert_issuer_dn}"
      - headerName: "X-Client-Cert-Subject-Dn"
        headerValue: "{client_cert_subject_dn}"
      - headerName: "X-Client-Cert-Leaf"
        headerValue: "{client_cert_leaf}"
      - headerName: "X-Client-Cert-Chain"
        headerValue: "{client_cert_chain}"
   

使用中间证书对客户端证书进行签名

本部分提供了用于生成客户端(叶)证书的其他配置选项。如果您已创建包含中间证书的 TrustConfig 资源,请执行以下操作:

  1. 创建一个配置文件,以便为客户端证书生成 CSR。

    以下配置文件 (client.config) 包含 [extension_requirements] 部分,该部分指定要包含在 CSR 中的 X.509 扩展。如需详细了解客户端证书的要求,请参阅证书要求

    cat > client.config << EOF
    [req]
    default_bits              = 2048
    req_extensions            = extension_requirements
    distinguished_name        = dn_requirements
    prompt                    = no
    
    [extension_requirements]
    basicConstraints          = critical, CA:FALSE
    keyUsage                  = critical, nonRepudiation, digitalSignature, keyEncipherment
    extendedKeyUsage          = clientAuth
    
    [dn_requirements]
    countryName               = US
    stateOrProvinceName       = California
    localityName              = San Francisco
    0.organizationName        = example
    organizationalUnitName    = test
    commonName                = test.example.com
    emailAddress              = test@example.com
    
    EOF
    

    如果您想将 SPIFFE 身份附加到配置文件,请执行以下操作:

    • subjectAltName 字段添加到 [extension_requirements] 部分,如下所示:

      subjectAltName            = @sans_list
      
    • client.config 文件底部添加一个新部分 ([sans_list]),如下所示:

      [sans_list]
      URI.1                     = spiffe://example.com/test-identity
      
  2. 为客户端证书创建 CSR (client.csr)。

    openssl req -new \
        -config client.config \
        -keyout client.key -out client.csr
    
  3. 对 CSR 进行签名以颁发 X.509 客户端证书 (client.cert)。CSR 由中间证书签名。

    openssl x509 -req \
        -CAkey int.key -CA int.cert \
        -days 365 \
        -extfile client.config \
        -extensions extension_requirements \
        -in client.csr -out client.cert
    
  4. 使用客户端 SSL 证书向负载均衡器的 IP 地址发送安全的 HTTPS 请求。客户端会提供其证书 (client.cert) 以向负载均衡器进行身份验证。

    curl -v --key client.key --cert client.cert https://IP_ADDRESS
    

    IP_ADDRESS 替换为负载均衡器的 IP 地址。

后续步骤