Ich habe versucht, HTTPS auf einem Kubernetes-Cluster auf der Google Cloud Platform zu implementieren. Ich verstehe nicht, was ich sonst noch überprüfen oder suchen muss. Ich verwende ein von Google verwaltetes Zertifikat.
Dig-Ausgabe
; <<>> DiG 9.11.5-P4-5.1+deb10u5-Debian <<>> demo.abhikube.tk
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 59409
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;demo.abhikube.tk. IN A
;; ANSWER SECTION:
demo.abhikube.tk. 300 IN A 35.190.47.137
;; Query time: 47 msec
;; SERVER: 169.254.169.254#53(169.254.169.254)
;; WHEN: Sun Sep 12 10:00:45 UTC 2021
;; MSG SIZE rcvd: 61
Befehl:-openssl s_client -connect demo.abhikube.tk:443 -tls1_2
CONNECTED(00000003)
write:errno=0
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 213 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1631440972
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: no
Ich habe es mehrmals versucht, aber Google zeigt den Zertifikatsstatus immer als an FailedNotVisible. Was kann ich sonst tun, um das zu beheben? Ich bin kein SSL-Experte. In Google Doc stand, dass es funktionieren sollte, wenn die Überprüfungsrückgabe in Ordnung ist, aber das tut es nicht. Die HTTP-Version funktioniert einwandfrei.
Ich habe eine Überprüfung durchgeführt aufhttps://dnssec-analyzer.verisignlabs.com/..itzeigt an
No DS records found for abhikube.tk in the tk zone
ns-cloud-e2.googledomains.com returns REFUSED for abhikube.tk/DNSKEY
ns-cloud-e4.googledomains.com returns REFUSED for abhikube.tk/DNSKEY
ns-cloud-e3.googledomains.com returns REFUSED for abhikube.tk/DNSKEY
ns-cloud-e1.googledomains.com returns REFUSED for abhikube.tk/DNSKEY
Antwort1
- Stellen Sie sicher, dass Sie denDNSSEC-Setup bei Ihrem Registrar, können Sie dies tun, indem Sie einen DS-Eintrag für Ihre Domäne in der übergeordneten Zone erstellen, sodass Resolver wissen, dass Ihre Domäne DNSSEC-fähig ist und ihre Daten validieren können.
- Aktualisieren Sie Ihre DNS-A- und AAAA-Einträge, um auf die IP-Adresse des Load Balancers zu verweisen.Hierfür Hilfe.
- Stellen Sie sicher, dass Sie keinen der genannten Schritte übersehen habenHierwährend Sie von Google verwaltete SSL-Zertifikate bereitstellen und Ihre Zertifikate an den richtigen Load Balancer anhängen.