在Kubernetes上配置相互认证

Question

我正在尝试在Kubernetes中实现相互认证，我可以创建证书，也可以将其配置到集群中，但当我从客户端发送证书时出现错误。

所以问题就在这里

当我创建证书时，我必须提供通用名称。此字段必须包含完全限定的域名。因为我的域名很长，有93个字符，所以不允许我输入我的域名，

我的疑问是，在生成证书时，是否必须在通用名称字段中包含完整的域名，或者我们是否有任何解决方法。

提亚

Answer 1

您可以在Subject Alternative Name中提供完全限定的域名(完全限定的域名)，而不是通用名称。主题备用名称没有64个字符的限制。

一般规则是根据所有SAN和通用名称对域进行检查。如果在那里找到了域，则证书可以用于连接。

RFC 5280，第4.1.2.6节说“主题名称可以在subject字段和/或subjectAltName扩展中携带”。这意味着域名必须根据证书的SubjectAltName扩展和Subject属性(即其公共名称参数)进行检查。这两个地方是互补的，而不是重复的。SubjectAltName是放置其他名称的合适位置，比如www.domain.com或www2.domain.com

根据2011年发布的RFC 6125，验证器必须首先检查SAN，如果SAN存在，则不应检查CN。请注意，RFC6125相对较新，仍然存在颁发证书的证书和can，其中包括CN中的主域名和SAN中的替代域名。即，如果存在SAN，则将CN排除在验证之外，您可以拒绝某些其他有效的证书