#istio #client-certificates #mtls
Вопрос:
Я пытаюсь заставить входной шлюз istio перенаправить сертификат клиента в мою службу для mTLS. Я попробовал следующую конфигурацию со страницы.
apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
meshConfig:
defaultConfig:
gatewayTopology:
forwardClientCertDetails: ALWAYS_FORWARD_ONLY
Если я проверю это с помощью службы httpbin, отправив запрос с сертификатом клиента следующим образом:
curl -v https://<my-FQDN>/headers --cacert CAcert.pem --cert client.pem --key client.key.pem
Затем в ответе я вижу заголовок XFCC только с сертификатом входного шлюза. Я не вижу сертификата клиента в заголовке XFCC.
"headers": {
"Accept": "*/*",
"Content-Length": "0",
"Host": "<my-FQDN>",
"User-Agent": "curl/7.60.0",
"X-B3-Parentspanid": "535ccd58be2707d1",
"X-B3-Sampled": "0",
"X-B3-Spanid": "859fe154b4b4f732",
"X-B3-Traceid": "c3a2d51fe8843dfa535ccd58be2707d1",
"X-Custom-Client-Ip": "xxx.xxx.xxx.xxx",
"X-Envoy-Attempt-Count": "1",
"X-Envoy-External-Address": "xxx.xxx.xxx.xxx",
"X-Forwarded-Client-Cert": "By=spiffe://cluster.local/ns/default/sa/httpbin;Hash=be931817624826a918707c148730ee0338b6aaa5e21a27c78b1abeafead6fd04;Subject="CN=istio-ingressgateway.istio-system.svc.cluster.local,C=US,OU=MGMT,O=XXXXX";URI=spiffe://cluster.local/ns/istio-system/sa/istio-ingressgateway-service-account"
}
Как мне добавить сертификат клиента в заголовок XFCC?
Комментарии:
1. Привет @Ihjaz. Есть какой-нибудь прогресс в этом деле?
Ответ №1:
Возможно, ALWAYS_FORWARD_ONLY означает, что существующий заголовок XFCC будет перенаправлен. Вы пробовали APPEND_FORWARD ?
Комментарии:
1. Я попробовал другие варианты, такие как APPEND_FORWARD, ОЧИСТКА. Я получаю тот же результат, что и показано выше для всех этих значений.