docker - GO - Docker 在 K8S 容器上询问证书

Question

我将以下代码与 this 一起使用库

provider, err := oidc.NewProvider(ctx, providerURI)
if err != nil {
    log.Println(err)
}

在本地运行时 具有相同的 providerURI 它 作品 ,
我能够成功获得提供者!
我使用 将它部署到 K8S完全相同的提供商网址 (如 env 变量)和 调试 它使用 port-forwarding ,
但是，在 k8S 中我遇到错误并且没有得到 provider .
错误是:

2020/08/14 16:42:22 Get "https://ace.svar.com/.well-known/openid-configuration": x509: certificate signed by unknown authority

我已将证书添加到图像和 验证一下 , 我 exec部署后进入 k8s 容器，我看到 server.crt文件下 /usr/local/share/ca-certificates/小路。
仍然有同样的错误，不知道我是否在这里错过了其他东西......
不确定它是否真的与 OIDC lib 或更一般的东西有关。

FROM golang:1.14.7 AS builder
RUN go get github.com/go-delve/delve/cmd/dlv
ADD server.crt /usr/local/share/ca-certificates/server.crt
RUN chmod 644 /usr/local/share/ca-certificates/server.crt && update-ca-certificates
RUN mkdir /app

ADD . /app
WORKDIR /app
RUN CGO_ENABLED=0 GOOS=linux go build -gcflags="all=-N -l" -o main ./...

FROM debian:buster AS production
COPY --from=builder /app .
COPY --from=builder /go/bin/dlv /
COPY --from=builder /usr/local/share/ca-certificates/ /usr/local/share/ca-certificates/
EXPOSE 8000 40000
ENV SSL_CERT_DIR=/usr/local/share/ca-certificates/
ENV PORT=8000
CMD ["/dlv", "--listen=:40000", "--headless=true", "--api-version=2", "--accept-multiclient", "exec", "./main"]

我从 GO-OIDC 的作者那里得到了重播要尝试使用的存储库
https://godoc.org/github.com/coreos/go-oidc#ClientContext
不知道怎么样，有什么想法吗？

Answer 1

来自 oidc.ClientContext文档它显示了如何传入自定义 http.Client :

myClient := &http.Client{}
ctx := oidc.ClientContext(parentContext, myClient)

// This will use the custom client
provider, err := oidc.NewProvider(ctx, "https://accounts.example.com")

提供定制 http.Client允许自定义 TLS 处理。

TLS 配置
创建一个 http.Client使用特定的 CA-trust 文件，我使用这些辅助函数:

func tlsConf(trustfile string) (t *tls.Config, err error) {
    if trustfile == "" {
        // DON'T USE IN PRODUCTION (but handy for testing)
        t = &tls.Config{InsecureSkipVerify: true}
        return
    }

    pembody, err := ioutil.ReadFile(trustfile)
    if err != nil {
        err = fmt.Errorf("failed to load trust file %q: %w", trustfile, err)
        return
    }

    rootCAs := x509.NewCertPool()
    if ok := rootCAs.AppendCertsFromPEM(pembody); !ok {
        err = fmt.Errorf("invalid PEM file %q", trustfile)
        return

    }

    t = &tls.Config{RootCAs: rootCAs}
    return
}

和:

func httpCli(trustfile string) (hc *http.Client, err error) {
    tc, err := tlsConf(trustfile)
    if err != nil {
        return
    }
    hc = &http.Client{Transport: &http.Transport{TLSClientConfig: tc}}
    return
}

因此，要将上述内容与 OIDC 包一起使用以进行快速测试:

hc, err := httpCli("") // DON'T USE IN PRODUCTION - will trust any TLS cert

ctx := oidc.ClientContext(parentContext, hc)
provider, err := oidc.NewProvider(ctx, "https://accounts.example.com")

如果可行，请将正确的信任文件添加到您的应用程序:

hc, err := httpCli("/usr/local/share/ca-certificates/server.crt"))

CA信托
如果您的 server.crt信任文件不起作用，您可能列出了错误的主题/发行人。
要确定，您可以 grab the trust cert (和可选的签名链)来自任何远程服务器(端口 443 是默认的 https 端口):

echo | openssl s_client -connect ace.svar.com:443 -showcerts 2> /dev/null > ace.txt

由于我不知道您的基础架构是什么样的，我将使用来自 google.com:443 的示例输出:

---
Certificate chain
 0 s:/C=US/ST=California/L=Mountain View/O=Google LLC/CN=*.google.com
   i:/C=US/O=Google Trust Services/CN=GTS CA 1O1
-----BEGIN CERTIFICATE-----
MIIKIzCCCQugAwIBAgIQF9rkH7fB/M4IAAAAAE2d0TANBgkqhkiG9w0BAQsFADBC
MQswCQYDVQQGEwJVUzEeMBwGA1UEChMVR29vZ2xlIFRydXN0IFNlcnZpY2VzMRMw
...
-----END CERTIFICATE-----

s:表示证书的主题 - 您可以看到服务器名称由通配符 CN=*.google.com 标识。 .如果您在 ace.txt 中看到类似的内容- 您的 server.crt应该包括这些行(从 BEGIN CERTIFICATE 开始，以 END CERTIFICATE 结束)。
您可能还会注意到 i:行表示颁发者证书名称。如果这与 s: 同名- 那么它是自签名证书，你就完成了。
在 google.com:443例如，主题 ( s: ) 与发行者 ( i: ) 不同。因此，与其信任主题证书——人们可以信任颁发者证书——允许潜在地信任多个服务器。由于主题证书是由该发行者签署的 - 信任链是完整的。