TLS终止:使用destinationCACertificate重新加密

Question

我已经创建了一个应用程序，其中包含一个使用OpenShift源的路由。现在，我想使用TLS确保该路由的安全:我已经创建了具有边和通过的路由。但是现在我想创建一个使用Reencrypt的路由。

因此，我需要在路由中指定一些证书：

apiVersion: v1
kind: Route
metadata:
  name: route-pt-secured
spec:
  host: www.example.com
  to:
    kind: Service
    name: service-name
  tls:
    termination: reencrypt        1
    key: [as in edge termination]
    certificate: [as in edge termination]
    caCertificate: [as in edge termination]
    destinationCaCertificate: |-  2
      -----BEGIN CERTIFICATE-----
      [...]
      -----END CERTIFICATE-----

它非常类似于边缘终端。但是在这里我不需要描述一个destinationCACertificate。我使用keytool创建自己的证书和密钥，并转换为pk12。之后，我可以看到我的证书和密钥(openssl pkcs12)，并将它们复制到我的路由中。

现在我的问题是我真的不知道destinationCACertificate是什么？我是否必须像创建普通密钥/证书一样创建它，或者我必须在其他地方读取/创建它？

Answer 1

destinationCACertificate是签署路由所指向的TLS端点( pod)的服务证书的(可选) CA证书。端点是一个pod，很可能是一个私有IP (10.x.x.x)，并且大多数CA不会对私有IP范围内的IP进行签名。此外，pod的创建和删除非常频繁(获取不同的IP地址)，因此很难创建具有pod IP的服务证书。

destinationCACertificate实际上是路由器和pod之间的共享秘密-路由器希望destinationCACertificate与服务器证书匹配，只有当您(用户)使用它设置路由以匹配pod服务器证书时，这才是可能的。