Я пытаюсь реализовать HTTPS на кластере kubernetes на Google Cloud Platform. Я не могу понять, что еще мне нужно проверить или на что обратить внимание. Я использую сертификат Google Managed.
вывод копать
; <<>> DiG 9.11.5-P4-5.1+deb10u5-Debian <<>> demo.abhikube.tk
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 59409
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;demo.abhikube.tk. IN A
;; ANSWER SECTION:
demo.abhikube.tk. 300 IN A 35.190.47.137
;; Query time: 47 msec
;; SERVER: 169.254.169.254#53(169.254.169.254)
;; WHEN: Sun Sep 12 10:00:45 UTC 2021
;; MSG SIZE rcvd: 61
Команда:-openssl s_client -connect demo.abhikube.tk:443 -tls1_2
CONNECTED(00000003)
write:errno=0
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 213 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1631440972
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: no
Я пробовал несколько раз, но Google продолжает показывать статус сертификата как FailedNotVisible. Что еще я могу сделать, чтобы исправить это? Я не эксперт по ssl. В документе Google сказано, что если результат проверки в порядке, то он должен работать... но этого не происходит. Версия HTTP работает нормально.
Я проверилhttps://dnssec-analyzer.verisignlabs.com/..itпоказывает
No DS records found for abhikube.tk in the tk zone
ns-cloud-e2.googledomains.com returns REFUSED for abhikube.tk/DNSKEY
ns-cloud-e4.googledomains.com returns REFUSED for abhikube.tk/DNSKEY
ns-cloud-e3.googledomains.com returns REFUSED for abhikube.tk/DNSKEY
ns-cloud-e1.googledomains.com returns REFUSED for abhikube.tk/DNSKEY
решение1
- Убедитесь, что вы выполнилиНастройка DNSSEC у вашего регистратора, вы можете сделать это, создав запись DS для вашего домена в родительской зоне, чтобы резолверы знали, что ваш домен поддерживает DNSSEC, и могли проверить его данные.
- Обновите записи DNS A и AAAA, чтобы они указывали на IP-адрес балансировщика нагрузки, проверьтездесьдля помощи.
- Убедитесь, что вы не пропустили ни одного упомянутого шага.здесьпри подготовке Google управлял SSL-сертификатами и прикреплял ваши сертификаты к правильному балансировщику нагрузки.