0

我们有一个在服务器上运行的微服务编排。nginx 服务充当微服务之间的代理。我们希望使用我们的自签名证书在 SSL 上进行所有通信。

我们希望将我们的私有 CA 添加到每个服务(在 Debian Buster 上运行),以便认为它在该服务中的任何地方都有效。我们生成我们的服务器证书和 CA,如下所示:

# Generate Root CA Certificate
openssl genrsa -des3 -out CA-key.pem 2048
openssl req -new -key CA-key.pem -x509 -days 1000 -out CA-cert.pem

# Generate a Signing a Server Certificate
openssl genrsa -des3 -out server-key.pem 2048
openssl req –new –config openssl.cnf –key server-key.pem –out signingReq.csr
openssl x509 -req -days 365 -in signingReq.csr -CA CA-cert.pem -CAkey CA-key.pem -CAcreateserial -out server-cert.pem

但是,我们不能让微服务将证书视为有效并信任它。在微服务中使用 Python 的请求库发出 get 请求时,会抛出如下异常:

requests.exceptions.SSLError: HTTPSConnectionPool(host='server.name', port=443): Max 
retries exceeded with url: /url/to/microservice2/routed/via/nginx/ (Caused by 
SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate 
verify failed: self signed certificate (_ssl.c:1076)')))

到目前为止,我们已经尝试过:

  • 将证书复制到 /usr/share/ca-certificate/ 并运行sudo dpkg-reconfigure ca-certificatesand/orupdate-ca-certificates命令。
  • REQUESTS_CA_BUNDLE环境变量设置为/path/to/internal-CA-cert.pem
  • SSL_CERT_FILE环境变量设置为/path/to/internal-CA-cert.pem

唯一可行的解​​决方法是设置valid=Falsein requests.get(url, params=params, verify=False, **kwargs),以忽略 SSL 证书的有效性。但是,这不是我们想要为所有微服务和通信实现的工作流程。

4

1 回答 1

-1

解决方案是将自签名服务器证书(使用我们自己的 CA 签名)复制到/usr/local/share/ca-certificates目录并使用update-ca-certificatesdebian 发行版中附带的证书(类似的解决方案可用于其他 linux 发行版)。

cp /path/to/certificate/mycert.crt /usr/local/share/ca-certificates/mycert.crt
update-ca-certificates

但是,棘手的部分是上述解决方案不足以让 python 请求库将证书视为有效。为了解决这个问题,必须将自签名服务器证书附加到该附加文件cat-certificates.crt,然后将环境变量REQUESTS_CA_BUNDLE设置为该附加文件。

cat /path/to/certificate/mycert.crt >>/etc/ssl/certs/ca-certificates.crt
export REQUESTS_CA_BUNDLE=/etc/ssl/certs/ca-certificates.crt
于 2020-04-28T02:26:20.643 回答