bre*_*uts 6 certificate go docker openid-connect kubernetes
我在这个库中使用以下代码
provider, err := oidc.NewProvider(ctx, providerURI)
if err != nil {
log.Println(err)
}
在使用相同的 providerURI在本地运行它时,它可以工作,但我能够成功获得提供者!
我使用完全相同的提供程序 url(作为env变量)将它部署到 K8S并使用调试它port-forwarding,但是,在 k8S 中我遇到错误并且没有得到provider.
错误是:
2020/08/14 16:42:22 Get "https://ace.svar.com/.well-known/openid-configuration": x509: certificate signed by unknown authority
我已将证书添加到图像并验证它,exec部署后我进入 k8s 容器,我看到路径server.crt下的文件/usr/local/share/ca-certificates/。
仍然有同样的错误,不知道我是否在这里错过了其他东西......不确定它是否真的与 OIDC lib 或更一般的东西有关..
FROM golang:1.14.7 AS builder
RUN go get github.com/go-delve/delve/cmd/dlv
ADD server.crt /usr/local/share/ca-certificates/server.crt
RUN chmod 644 /usr/local/share/ca-certificates/server.crt && update-ca-certificates
RUN mkdir /app
ADD . /app
WORKDIR /app
RUN CGO_ENABLED=0 GOOS=linux go build -gcflags="all=-N -l" -o main ./...
FROM debian:buster AS production
COPY --from=builder /app .
COPY --from=builder /go/bin/dlv /
COPY --from=builder /usr/local/share/ca-certificates/ /usr/local/share/ca-certificates/
EXPOSE 8000 40000
ENV SSL_CERT_DIR=/usr/local/share/ca-certificates/
ENV PORT=8000
CMD ["/dlv", "--listen=:40000", "--headless=true", "--api-version=2", "--accept-multiclient", "exec", "./main"]
我从GO-OIDC存储库的作者那里得到重播以尝试使用
https://godoc.org/github.com/coreos/go-oidc#ClientContext
不知道怎么样,有什么想法吗?
从oidc.ClientContext docs 它显示了如何传入自定义http.Client:
myClient := &http.Client{}
ctx := oidc.ClientContext(parentContext, myClient)
// This will use the custom client
provider, err := oidc.NewProvider(ctx, "https://accounts.example.com")
提供自定义http.Client允许自定义 TLS 处理。
为了http.Client使用特定的 CA-trust 文件创建一个,我使用了这些辅助函数:
func tlsConf(trustfile string) (t *tls.Config, err error) {
if trustfile == "" {
// DON'T USE IN PRODUCTION (but handy for testing)
t = &tls.Config{InsecureSkipVerify: true}
return
}
pembody, err := ioutil.ReadFile(trustfile)
if err != nil {
err = fmt.Errorf("failed to load trust file %q: %w", trustfile, err)
return
}
rootCAs := x509.NewCertPool()
if ok := rootCAs.AppendCertsFromPEM(pembody); !ok {
err = fmt.Errorf("invalid PEM file %q", trustfile)
return
}
t = &tls.Config{RootCAs: rootCAs}
return
}
和:
func httpCli(trustfile string) (hc *http.Client, err error) {
tc, err := tlsConf(trustfile)
if err != nil {
return
}
hc = &http.Client{Transport: &http.Transport{TLSClientConfig: tc}}
return
}
因此,要将上述内容与 OIDC 包一起使用以进行快速测试:
hc, err := httpCli("") // DON'T USE IN PRODUCTION - will trust any TLS cert
ctx := oidc.ClientContext(parentContext, hc)
provider, err := oidc.NewProvider(ctx, "https://accounts.example.com")
如果可行,请将正确的信任文件添加到您的应用程序:
hc, err := httpCli("/usr/local/share/ca-certificates/server.crt"))
如果您的server.crt信任文件不起作用,您可能列出了错误的主题/发行人。
要确定,您可以从任何远程服务器(端口 443 是默认的 https 端口)获取信任证书(和可选的签名链):
echo | openssl s_client -connect ace.svar.com:443 -showcerts 2> /dev/null > ace.txt
由于我不知道您的基础架构是什么样的,我将使用以下示例输出google.com:443:
---
Certificate chain
0 s:/C=US/ST=California/L=Mountain View/O=Google LLC/CN=*.google.com
i:/C=US/O=Google Trust Services/CN=GTS CA 1O1
-----BEGIN CERTIFICATE-----
MIIKIzCCCQugAwIBAgIQF9rkH7fB/M4IAAAAAE2d0TANBgkqhkiG9w0BAQsFADBC
MQswCQYDVQQGEwJVUzEeMBwGA1UEChMVR29vZ2xlIFRydXN0IFNlcnZpY2VzMRMw
...
-----END CERTIFICATE-----
该s:指示证书的主题-你可以看到服务器名称由通配符标识CN=*.google.com。如果您在其中看到类似的内容ace.txt- 您server.crt应该包括这些行(以 开头BEGIN CERTIFICATE和结尾END CERTIFICATE)。
您可能还会注意到该i:行表示颁发者证书名称。如果这与s:-同名,则它是自签名证书,您就完成了。
在google.com:443示例中,主体 ( s:) 不同于发行者 ( i:)。因此,与其信任主题证书——人们可以信任颁发者证书——允许潜在地信任多个服务器。由于主题证书是由该发行者签署的 - 信任链是完整的。