Tenho tentado implementar HTTPS em um cluster Kubernetes no Google Cloud Platform. Não consigo entender o que mais preciso verificar ou procurar. Estou usando um certificado gerenciado pelo Google.
saída de escavação
; <<>> DiG 9.11.5-P4-5.1+deb10u5-Debian <<>> demo.abhikube.tk
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 59409
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;demo.abhikube.tk. IN A
;; ANSWER SECTION:
demo.abhikube.tk. 300 IN A 35.190.47.137
;; Query time: 47 msec
;; SERVER: 169.254.169.254#53(169.254.169.254)
;; WHEN: Sun Sep 12 10:00:45 UTC 2021
;; MSG SIZE rcvd: 61
Comando:-openssl s_client -connect demo.abhikube.tk:443 -tls1_2
CONNECTED(00000003)
write:errno=0
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 213 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1631440972
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: no
Tentei várias vezes, mas o Google continua mostrando o status do certificado como FailedNotVisible. O que mais posso fazer para corrigir isso? Não sou especialista em SSL. O documento do Google disse que se o retorno de verificação estiver ok, deve funcionar ... mas não funciona. A versão HTTP funciona bem.
Eu fiz uma verificaçãohttps://dnssec-analyzer.verisignlabs.com/..itmostra
No DS records found for abhikube.tk in the tk zone
ns-cloud-e2.googledomains.com returns REFUSED for abhikube.tk/DNSKEY
ns-cloud-e4.googledomains.com returns REFUSED for abhikube.tk/DNSKEY
ns-cloud-e3.googledomains.com returns REFUSED for abhikube.tk/DNSKEY
ns-cloud-e1.googledomains.com returns REFUSED for abhikube.tk/DNSKEY
Responder1
- Certifique-se de ter concluído oConfiguração de DNSSEC no seu registrador, você pode fazer isso criando um registro DS para seu domínio na zona pai, para que os resolvedores saibam que seu domínio está habilitado para DNSSEC e possam validar seus dados.
- Atualize seus registros DNS A e AAAA para apontar para o endereço IP do balanceador de carga, verifiqueaquipara ajuda.
- Certifique-se de que você não perdeu nenhuma etapa mencionadaaquiao provisionar certificados SSL gerenciados pelo Google e anexar seus certificados ao balanceador de carga correto.