L’article explique comment configurer un backend HTTPS avec un certificat auto-signé dans Kubernetes en utilisant Gateway API et trust-manager, en remplacement des annotations simplistes d’Ingress-NGINX. L’auteur détaille la migration d’une ressource Ingress vers une HTTPRoute couplée à une BackendTLSPolicy, qui impose une validation stricte du certificat backend, contrairement à NGINX qui permet de désactiver cette vérification. La solution repose sur l’intégration d’une autorité de certification (CA) interne dans un ConfigMap, référencée par la BackendTLSPolicy pour valider le certificat auto-signé.
L’auteur souligne que Gateway API, bien que plus sécurisé et déclaratif, ne propose pas d’option pour ignorer la validation du certificat backend, contrairement à NGINX. La méthode proposée utilise trust-manager pour injecter automatiquement la CA dans le cluster, simplifiant ainsi la gestion des certificats auto-signés. Cette approche garantit une configuration cohérente et sécurisée, alignée sur les bonnes pratiques Kubernetes.
Le guide explique comment créer un certificat TLS auto-signé et l'installer sur un serveur nginx ainsi que sur des systèmes clients. Il commence par discuter des objectifs de TLS, qui incluent l'authentification et le chiffrement pour assurer la confidentialité et l'intégrité des données. Le processus de création d'un certificat racine est détaillé, incluant la génération d'une clé privée et la création du certificat avec OpenSSL. Le certificat racine est ensuite ajouté à la liste des certificats de confiance sur les systèmes clients, ce qui permet de l'utiliser pour signer d'autres certificats. Enfin, le guide montre comment créer un certificat final pour un serveur web, le configurer dans nginx, et mettre en place une méthode automatique pour mettre à jour les certificats.
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Une bonne piqûre de rappel sur les certificats SSL auto signés et leur mise en oeuvre avec Apache et Nginx