He estado intentando implementar HTTPS en un clúster de Kubernetes en Google Cloud Platform. No puedo entender qué más necesito verificar o buscar. Estoy usando un certificado administrado por Google.
salida de excavación
; <<>> DiG 9.11.5-P4-5.1+deb10u5-Debian <<>> demo.abhikube.tk
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 59409
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;demo.abhikube.tk. IN A
;; ANSWER SECTION:
demo.abhikube.tk. 300 IN A 35.190.47.137
;; Query time: 47 msec
;; SERVER: 169.254.169.254#53(169.254.169.254)
;; WHEN: Sun Sep 12 10:00:45 UTC 2021
;; MSG SIZE rcvd: 61
Dominio:-openssl s_client -connect demo.abhikube.tk:443 -tls1_2
CONNECTED(00000003)
write:errno=0
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 213 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1631440972
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: no
Lo he intentado varias veces pero Google sigue mostrando el estado del certificado como FailedNotVisible. ¿Qué más puedo hacer para solucionar este problema? No soy un experto en SSL. El documento de Google dijo que si la devolución de verificación está bien, debería funcionar... pero no es así. La versión HTTP funciona bien.
hice un controlhttps://dnssec-analyzer.verisignlabs.com/..itmuestra
No DS records found for abhikube.tk in the tk zone
ns-cloud-e2.googledomains.com returns REFUSED for abhikube.tk/DNSKEY
ns-cloud-e4.googledomains.com returns REFUSED for abhikube.tk/DNSKEY
ns-cloud-e3.googledomains.com returns REFUSED for abhikube.tk/DNSKEY
ns-cloud-e1.googledomains.com returns REFUSED for abhikube.tk/DNSKEY
Respuesta1
- Asegúrate de haber completado elConfiguración de DNSSEC en su registrador, puede hacerlo creando un registro DS para su dominio en la zona principal, de modo que los resolutores sepan que su dominio está habilitado para DNSSEC y puedan validar sus datos.
- Actualice sus registros DNS A y AAAA para que apunten a la dirección IP del balanceador de carga, verifiqueaquípor ayuda.
- Asegúrese de no omitir ningún paso mencionadoaquímientras aprovisionaba certificados SSL administrados por Google y adjuntaba sus certificados al balanceador de carga correcto.