2

我想创建一个自签名证书以在 Google Loadbalancer 中使用,我编写了以下脚本来准备它:

#!/bin/bash

FQDN=*.domain.net
SUBJ="/C=CZ/ST=Country/L=City/O=Authority/CN=$FQDN"
VALIDITY=3650

# make directories to work from
mkdir -p certs

# generate self signed root CA cert
openssl req -nodes -x509 -newkey rsa:2048 -keyout certs/ca.key -out certs/ca.crt -subj $SUBJ

# generate server cert to be signed
openssl req -nodes -newkey rsa:2048 -keyout certs/server.key -out certs/server.csr -subj $SUBJ

# sign the server cert
openssl x509 -req -in certs/server.csr -CA certs/ca.crt -CAkey certs/ca.key -CAcreateserial -out certs/server.crt

# create server PEM file
cat certs/server.key certs/server.crt > certs/server.pem

# generate client cert to be signed
openssl req -nodes -newkey rsa:2048 -days $VALIDITY -keyout certs/client.key -out certs/client.csr -subj $SUBJ

# sign the client cert
openssl x509 -req -in certs/client.csr -CA certs/ca.crt -CAkey certs/ca.key -CAserial certs/ca.srl -out certs/client.crt

# create client PEM file
cat certs/client.key certs/client.crt > certs/client.pem

这可以正常工作并生成没有错误的所有证书。

但是,当我尝试将这些放入谷歌负载均衡器时,它拒绝接受生成的证书。我把:

  1. certs/client.crt到“公钥证书”字段
  2. certs/client.pem到“证书链”字段
  3. certs/server.key到“私钥”字段

在此处输入图像描述

4

1 回答 1

4

您可以将自签名证书用于后端服务。您不能将自签名证书用于前端服务。

Google Cloud HTTP 负载平衡器仅接受经过域验证或更高级别的 SSL 证书。

不要混淆自管理证书和自签名证书。

自行管理和 Google 管理的 SSL 证书

您问题中的错误消息意味着您正在导入错误的私钥。您还有另一个错误VALIDITY=3650。面向公众的 SSL 证书不能超过 825 天(我认为现在的做法是 398 天),几乎所有供应商都不会颁发超过 365 天的证书。对于有效期超过 365 天的证书,需要附在证书上的更多详细信息。

于 2021-06-06T17:49:52.207 回答