GO - Docker 在 K8S 容器上询问证书
GO - Docker ask certificate on K8S container
我将以下代码与 this lib
一起使用
provider, err := oidc.NewProvider(ctx, providerURI)
if err != nil {
log.Println(err)
}
虽然 运行 它在本地 使用相同的 providerURI 它 有效 ,
我能够成功获得供应商!
我使用 完全相同的提供程序 url(作为 env 变量)和 debug[=47= 将其部署到 K8S ] 它使用 port-forwarding ,
但是,在 k8S 中我得到了错误并且没有得到 provider.
错误是:
2020/08/14 16:42:22 Get "https://ace.svar.com/.well-known/openid-configuration": x509: certificate signed by unknown authority
我已经将证书添加到镜像中并验证它,我在部署后exec到k8s容器中,我在下面看到server.crt文件/usr/local/share/ca-certificates/路径。
仍然出现同样的错误,不知道我是否还漏掉了其他东西...
不确定它是否真的与 OIDC 库或更一般的东西有关..
FROM golang:1.14.7 AS builder
RUN go get github.com/go-delve/delve/cmd/dlv
ADD server.crt /usr/local/share/ca-certificates/server.crt
RUN chmod 644 /usr/local/share/ca-certificates/server.crt && update-ca-certificates
RUN mkdir /app
ADD . /app
WORKDIR /app
RUN CGO_ENABLED=0 GOOS=linux go build -gcflags="all=-N -l" -o main ./...
FROM debian:buster AS production
COPY --from=builder /app .
COPY --from=builder /go/bin/dlv /
COPY --from=builder /usr/local/share/ca-certificates/ /usr/local/share/ca-certificates/
EXPOSE 8000 40000
ENV SSL_CERT_DIR=/usr/local/share/ca-certificates/
ENV PORT=8000
CMD ["/dlv", "--listen=:40000", "--headless=true", "--api-version=2", "--accept-multiclient", "exec", "./main"]
我从 GO-OIDC 存储库的作者那里得到了重播来尝试使用
https://godoc.org/github.com/coreos/go-oidc#ClientContext
不确定如何,知道吗?
Golang标准ssl库正在以下目录中查找证书:https://github.com/golang/go/blob/master/src/crypto/x509/root_unix.go#L18-L37 && https://github.com/golang/go/blob/master/src/crypto/x509/root_linux.go#L8-L15,如果要在新位置查找,可以使用环境变量:SSL_CERT_FILE或SSL_CERT_DIR 并设置证书的位置。
所以在你的情况下它将是:
export SSL_CERT_DIR=/usr/local/share/ca-certificates/
然后 运行 你的申请。
来自 oidc.ClientContext 文档,它显示了如何传递自定义 http.Client:
myClient := &http.Client{}
ctx := oidc.ClientContext(parentContext, myClient)
// This will use the custom client
provider, err := oidc.NewProvider(ctx, "https://accounts.example.com")
提供自定义 http.Client 允许自定义 TLS 处理。
TLS 配置
要使用特定 CA-trust 文件创建 http.Client,我使用了这些辅助函数:
func tlsConf(trustfile string) (t *tls.Config, err error) {
if trustfile == "" {
// DON'T USE IN PRODUCTION (but handy for testing)
t = &tls.Config{InsecureSkipVerify: true}
return
}
pembody, err := ioutil.ReadFile(trustfile)
if err != nil {
err = fmt.Errorf("failed to load trust file %q: %w", trustfile, err)
return
}
rootCAs := x509.NewCertPool()
if ok := rootCAs.AppendCertsFromPEM(pembody); !ok {
err = fmt.Errorf("invalid PEM file %q", trustfile)
return
}
t = &tls.Config{RootCAs: rootCAs}
return
}
和:
func httpCli(trustfile string) (hc *http.Client, err error) {
tc, err := tlsConf(trustfile)
if err != nil {
return
}
hc = &http.Client{Transport: &http.Transport{TLSClientConfig: tc}}
return
}
因此,将以上内容与 OIDC 包一起使用进行快速测试:
hc, err := httpCli("") // DON'T USE IN PRODUCTION - will trust any TLS cert
ctx := oidc.ClientContext(parentContext, hc)
provider, err := oidc.NewProvider(ctx, "https://accounts.example.com")
如果可行,请将正确的信任文件添加到您的应用程序:
hc, err := httpCli("/usr/local/share/ca-certificates/server.crt"))
CA 信托
如果您的 server.crt 信任文件不工作,您可能列出了错误的 subject/issuer。
要确定,您可以从任何远程服务器(端口 443 是默认的 https 端口)grab the trust cert(和可选的签名链):
echo | openssl s_client -connect ace.svar.com:443 -showcerts 2> /dev/null > ace.txt
由于我不知道您的基础架构是什么样的,我将使用来自 google.com:443:
的示例输出
---
Certificate chain
0 s:/C=US/ST=California/L=Mountain View/O=Google LLC/CN=*.google.com
i:/C=US/O=Google Trust Services/CN=GTS CA 1O1
-----BEGIN CERTIFICATE-----
MIIKIzCCCQugAwIBAgIQF9rkH7fB/M4IAAAAAE2d0TANBgkqhkiG9w0BAQsFADBC
MQswCQYDVQQGEwJVUzEeMBwGA1UEChMVR29vZ2xlIFRydXN0IFNlcnZpY2VzMRMw
...
-----END CERTIFICATE-----
s: 表示证书的主题 - 您可以看到服务器名称由通配符 CN=*.google.com 标识。如果您在 ace.txt 中看到类似的内容 - 您的 server.crt 应该包括这些行(从 BEGIN CERTIFICATE 开始并以 END CERTIFICATE 结束)。
您可能还会注意到 i: 行表示颁发者证书名称。如果这与 s: 同名 - 那么它就是 self-signed 证书,你就完成了。
在 google.com:443 示例中,主题 (s:) 与发行者 (i:) 不同。因此,与其信任主题证书,不如信任颁发者证书,从而允许可能信任多个服务器。由于主题证书由该颁发者签署 - chain-of-trust 已完成。
我将以下代码与 this lib
一起使用provider, err := oidc.NewProvider(ctx, providerURI)
if err != nil {
log.Println(err)
}
虽然 运行 它在本地 使用相同的 providerURI 它 有效 , 我能够成功获得供应商!
我使用 完全相同的提供程序 url(作为 env 变量)和 debug[=47= 将其部署到 K8S ] 它使用 port-forwarding ,
但是,在 k8S 中我得到了错误并且没有得到 provider.
错误是:
2020/08/14 16:42:22 Get "https://ace.svar.com/.well-known/openid-configuration": x509: certificate signed by unknown authority
我已经将证书添加到镜像中并验证它,我在部署后exec到k8s容器中,我在下面看到server.crt文件/usr/local/share/ca-certificates/路径。
仍然出现同样的错误,不知道我是否还漏掉了其他东西... 不确定它是否真的与 OIDC 库或更一般的东西有关..
FROM golang:1.14.7 AS builder
RUN go get github.com/go-delve/delve/cmd/dlv
ADD server.crt /usr/local/share/ca-certificates/server.crt
RUN chmod 644 /usr/local/share/ca-certificates/server.crt && update-ca-certificates
RUN mkdir /app
ADD . /app
WORKDIR /app
RUN CGO_ENABLED=0 GOOS=linux go build -gcflags="all=-N -l" -o main ./...
FROM debian:buster AS production
COPY --from=builder /app .
COPY --from=builder /go/bin/dlv /
COPY --from=builder /usr/local/share/ca-certificates/ /usr/local/share/ca-certificates/
EXPOSE 8000 40000
ENV SSL_CERT_DIR=/usr/local/share/ca-certificates/
ENV PORT=8000
CMD ["/dlv", "--listen=:40000", "--headless=true", "--api-version=2", "--accept-multiclient", "exec", "./main"]
我从 GO-OIDC 存储库的作者那里得到了重播来尝试使用
https://godoc.org/github.com/coreos/go-oidc#ClientContext
不确定如何,知道吗?
Golang标准ssl库正在以下目录中查找证书:https://github.com/golang/go/blob/master/src/crypto/x509/root_unix.go#L18-L37 && https://github.com/golang/go/blob/master/src/crypto/x509/root_linux.go#L8-L15,如果要在新位置查找,可以使用环境变量:SSL_CERT_FILE或SSL_CERT_DIR 并设置证书的位置。
所以在你的情况下它将是:
export SSL_CERT_DIR=/usr/local/share/ca-certificates/
然后 运行 你的申请。
来自 oidc.ClientContext 文档,它显示了如何传递自定义 http.Client:
myClient := &http.Client{}
ctx := oidc.ClientContext(parentContext, myClient)
// This will use the custom client
provider, err := oidc.NewProvider(ctx, "https://accounts.example.com")
提供自定义 http.Client 允许自定义 TLS 处理。
TLS 配置
要使用特定 CA-trust 文件创建 http.Client,我使用了这些辅助函数:
func tlsConf(trustfile string) (t *tls.Config, err error) {
if trustfile == "" {
// DON'T USE IN PRODUCTION (but handy for testing)
t = &tls.Config{InsecureSkipVerify: true}
return
}
pembody, err := ioutil.ReadFile(trustfile)
if err != nil {
err = fmt.Errorf("failed to load trust file %q: %w", trustfile, err)
return
}
rootCAs := x509.NewCertPool()
if ok := rootCAs.AppendCertsFromPEM(pembody); !ok {
err = fmt.Errorf("invalid PEM file %q", trustfile)
return
}
t = &tls.Config{RootCAs: rootCAs}
return
}
和:
func httpCli(trustfile string) (hc *http.Client, err error) {
tc, err := tlsConf(trustfile)
if err != nil {
return
}
hc = &http.Client{Transport: &http.Transport{TLSClientConfig: tc}}
return
}
因此,将以上内容与 OIDC 包一起使用进行快速测试:
hc, err := httpCli("") // DON'T USE IN PRODUCTION - will trust any TLS cert
ctx := oidc.ClientContext(parentContext, hc)
provider, err := oidc.NewProvider(ctx, "https://accounts.example.com")
如果可行,请将正确的信任文件添加到您的应用程序:
hc, err := httpCli("/usr/local/share/ca-certificates/server.crt"))
CA 信托
如果您的 server.crt 信任文件不工作,您可能列出了错误的 subject/issuer。
要确定,您可以从任何远程服务器(端口 443 是默认的 https 端口)grab the trust cert(和可选的签名链):
echo | openssl s_client -connect ace.svar.com:443 -showcerts 2> /dev/null > ace.txt
由于我不知道您的基础架构是什么样的,我将使用来自 google.com:443:
---
Certificate chain
0 s:/C=US/ST=California/L=Mountain View/O=Google LLC/CN=*.google.com
i:/C=US/O=Google Trust Services/CN=GTS CA 1O1
-----BEGIN CERTIFICATE-----
MIIKIzCCCQugAwIBAgIQF9rkH7fB/M4IAAAAAE2d0TANBgkqhkiG9w0BAQsFADBC
MQswCQYDVQQGEwJVUzEeMBwGA1UEChMVR29vZ2xlIFRydXN0IFNlcnZpY2VzMRMw
...
-----END CERTIFICATE-----
s: 表示证书的主题 - 您可以看到服务器名称由通配符 CN=*.google.com 标识。如果您在 ace.txt 中看到类似的内容 - 您的 server.crt 应该包括这些行(从 BEGIN CERTIFICATE 开始并以 END CERTIFICATE 结束)。
您可能还会注意到 i: 行表示颁发者证书名称。如果这与 s: 同名 - 那么它就是 self-signed 证书,你就完成了。
在 google.com:443 示例中,主题 (s:) 与发行者 (i:) 不同。因此,与其信任主题证书,不如信任颁发者证书,从而允许可能信任多个服务器。由于主题证书由该颁发者签署 - chain-of-trust 已完成。