谷歌负载均衡器拒绝自签名证书

Posted

技术标签:

【中文标题】谷歌负载均衡器拒绝自签名证书【英文标题】:Google Load balancer refuses self-signed certificate 【发布时间】:2021-08-23 23:01:20 【问题描述】:

我想创建一个自签名证书以在 Google Loadbalancer 中使用,我编写了以下脚本来准备它:

#!/bin/bash

FQDN=*.domain.net
SUBJ="/C=CZ/ST=Country/L=City/O=Authority/CN=$FQDN"
VALIDITY=3650

# make directories to work from
mkdir -p certs

# generate self signed root CA cert
openssl req -nodes -x509 -newkey rsa:2048 -keyout certs/ca.key -out certs/ca.crt -subj $SUBJ

# generate server cert to be signed
openssl req -nodes -newkey rsa:2048 -keyout certs/server.key -out certs/server.csr -subj $SUBJ

# sign the server cert
openssl x509 -req -in certs/server.csr -CA certs/ca.crt -CAkey certs/ca.key -CAcreateserial -out certs/server.crt

# create server PEM file
cat certs/server.key certs/server.crt > certs/server.pem

# generate client cert to be signed
openssl req -nodes -newkey rsa:2048 -days $VALIDITY -keyout certs/client.key -out certs/client.csr -subj $SUBJ

# sign the client cert
openssl x509 -req -in certs/client.csr -CA certs/ca.crt -CAkey certs/ca.key -CAserial certs/ca.srl -out certs/client.crt

# create client PEM file
cat certs/client.key certs/client.crt > certs/client.pem

这可以正常工作并生成所有证书且没有错误。

但是,当我尝试将这些放入谷歌负载均衡器时,它拒绝接受生成的证书。我说:

    certs/client.crt 到“公钥证书”字段 certs/client.pem 到“证书链”字段 certs/server.key“私钥”字段

【问题讨论】:

【参考方案1】:

您可以将自签名证书用于后端服务。您不能将自签名证书用于前端服务。

Google Cloud HTTP 负载平衡器仅接受经过域验证或更高版本的 SSL 证书。

不要混淆自管理自签名证书。

Self-managed and Google-managed SSL certificates

您问题中的错误消息意味着您导入了错误的私钥。您还有另一个错误VALIDITY=3650。面向公众的 SSL 证书不能超过 825 天(我认为现在的做法是 398 天),几乎所有供应商都不会颁发超过 365 天的证书。对于有效期超过 365 天的证书,需要在证书中附加更多详细信息。

【讨论】:

您好,感谢您的回答。我有点困惑。在这种情况下,我正在执行的过程是“自我管理”还是“自签名”?或者:上述过程对于 Google 前端服务是否正确? “您问题中的错误消息意味着您正在导入错误的私钥。” - 我明白这一点,但我不确定上述过程有什么问题 - 我用我放在哪里的内容更新了问题。 @Vojtěch 您的进程正在使用不受支持的“自签名”。即使您指定了正确的私钥,证书也会被拒绝。 有效期为 10 年是错误的,但这些证书没有:shell var VALIDITY 根本不用于 CA 证书或服务器证书,并且对于客户端证书(完全不需要且无用),它仅用于req -newkey 被忽略的位置,而不是x509 -req -CA* 实际影响证书的位置。 openssl 将所有这些证书默认为 30 天有效期,实际问题是其他的。 @dave_thompson_085 - 您的 cmets 如何影响我对 Google Cloud HTTP 负载均衡器前端接受证书的回答? Openssl 自签名证书不能与 Google Cloud 前端一起使用。为了未来读者的利益,我很高兴改进我的答案,让我知道应该改进什么。

以上是关于谷歌负载均衡器拒绝自签名证书的主要内容,如果未能解决你的问题,请参考以下文章

nginx源码安装文件模块的修改访问加密(自定义签名证书)及负载均衡+轮询

HttpClient 拒绝发送自签名客户端证书

在 redhat 中导入自签名证书

自签名证书可以用吗?

什么是自签名SSL证书?

MAC申请自签名的ssl证书