我们有一个在服务器上运行的微服务编排。nginx 服务充当微服务之间的代理。我们希望使用我们的自签名证书在 SSL 上进行所有通信。
我们希望将我们的私有 CA 添加到每个服务(在 Debian Buster 上运行),以便认为它在该服务中的任何地方都有效。我们生成我们的服务器证书和 CA,如下所示:
# Generate Root CA Certificate
openssl genrsa -des3 -out CA-key.pem 2048
openssl req -new -key CA-key.pem -x509 -days 1000 -out CA-cert.pem
# Generate a Signing a Server Certificate
openssl genrsa -des3 -out server-key.pem 2048
openssl req –new –config openssl.cnf –key server-key.pem –out signingReq.csr
openssl x509 -req -days 365 -in signingReq.csr -CA CA-cert.pem -CAkey CA-key.pem -CAcreateserial -out server-cert.pem
但是,我们不能让微服务将证书视为有效并信任它。在微服务中使用 Python 的请求库发出 get 请求时,会抛出如下异常:
requests.exceptions.SSLError: HTTPSConnectionPool(host='server.name', port=443): Max
retries exceeded with url: /url/to/microservice2/routed/via/nginx/ (Caused by
SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate
verify failed: self signed certificate (_ssl.c:1076)')))
到目前为止,我们已经尝试过:
- 将证书复制到 /usr/share/ca-certificate/ 并运行
sudo dpkg-reconfigure ca-certificates
and/orupdate-ca-certificates
命令。 - 将
REQUESTS_CA_BUNDLE
环境变量设置为/path/to/internal-CA-cert.pem
- 将
SSL_CERT_FILE
环境变量设置为/path/to/internal-CA-cert.pem
唯一可行的解决方法是设置valid=False
in requests.get(url, params=params, verify=False, **kwargs)
,以忽略 SSL 证书的有效性。但是,这不是我们想要为所有微服务和通信实现的工作流程。