Регистрация Войти
Рейтинг:0
Abhishek Rai avatar Server

ns-cloud-e2.googledomains.com возвращает отказ

флаг ae
Abhishek Rai

Я пытался внедрить HTTPS в кластере kubernetes на облачной платформе Google. Я не могу понять, что еще мне нужно проверить или найти. Я использую сертификат, управляемый Google.

вывод копать

; <<>> DiG 9.11.5-P4-5.1+deb10u5-Debian <<>> demo.abhikube.tk
;; глобальные параметры: +cmd
;; Получил ответ:
;; ->>HEADER<<- код операции: QUERY, статус: NOERROR, id: 59409
;; флаги: qr rd ra; ЗАПРОС: 1, ОТВЕТ: 1, ПОЛНОМОЧИЯ: 0, ДОПОЛНИТЕЛЬНО: 1

;; ДОПОЛНИТЕЛЬНЫЙ ПСЕВДОРАЗДЕЛ:
; ЭДНС: версия: 0, флаги:; UDP: 512
;; РАЗДЕЛ ВОПРОСОВ:
;demo.abhikube.tk. В

;; РАЗДЕЛ ОТВЕТОВ:
демо.abhikube.tk. 300 В А 35.190.47.137

;; Время запроса: 47 мс
;; СЕРВЕР: 169.254.169.254#53(169.254.169.254)
;; КОГДА: воскресенье, 12 сентября, 10:00:45 UTC 2021
;; РАЗМЕР MSG rcvd: 61

Команда:- openssl s_client -connect demo.abhikube.tk:443 -tls1_2

ПОДКЛЮЧЕН(00000003)
написать: errno = 0
---
нет доступного однорангового сертификата
---
Имена ЦС сертификата клиента не отправлены
---
Рукопожатие SSL прочитало 0 байт и записало 213 байт
Проверка: ОК
---
Новый, (НЕТ), Шифр ​​(НЕТ)
Безопасное повторное согласование НЕ поддерживается
Сжатие: НЕТ
Расширение: НЕТ
ALPN не согласован
SSL-сессия:
    Протокол: TLSv1.2
    Шифр: 0000
    Идентификатор сессии:
    Идентификатор сеанса-ctx:
    Мастер ключ:
    Идентификация PSK: нет
    Подсказка идентификации PSK: нет
    Имя пользователя SRP: нет
    Время начала: 1631440972
    Время ожидания: 7200 (сек)
    Подтвердите код возврата: 0 (хорошо)
    Расширенный главный секрет: нет

Я пытался несколько раз, но Google продолжает показывать статус сертификата как Фейледновидибле. Что еще я могу сделать, чтобы исправить это? Я не эксперт по ssl. В документе Google говорится, что если возврат подтверждения в порядке, он должен работать ... но это не так. Версия HTTP работает нормально.

я проверил https://dnssec-analyzer.verisignlabs.com/..it показывает

Записи DS для abhikube.tk в зоне tk не найдены.
    ns-cloud-e2.googledomains.com возвращает REFUSED для abhikube.tk/DNSKEY
    ns-cloud-e4.googledomains.com возвращает REFUSED для abhikube.tk/DNSKEY
    ns-cloud-e3.googledomains.com возвращает REFUSED для abhikube.tk/DNSKEY
    ns-cloud-e1.googledomains.com возвращает REFUSED для abhikube.tk/DNSKEY
121
0 + 0
флаг cn
Håkan Lindqvist
Я не знаю о сертификате, управляемом Google (эти проблемы, вероятно, связаны), но доменное имя, указанное в вопросе, похоже, не имеет соответствующей зоны на серверах имен, поэтому ответ «ОТКАЗАНО» на DNS-запросы. См., например, https://dnsviz.net/d/abhikube.tk/YT3hxw/dnssec/
1
Ответить
Abhishek Rai avatar
флаг ae
Abhishek Rai
Я думаю, что бесплатный домен, настроенный на freenom.com, является причиной сбоя сертификата `ssl`. У меня нет другого способа проверить это на kubernetes. Что ж, думаю, мне придется отказаться от этого и купить домен.
0
Ответить
флаг cn
Håkan Lindqvist
Имя не разрешается, потому что abhikube.tk делегирован ns-cloud-e1.googledomains.com (и т. д.), но эти серверы имен не имеют соответствующей зоны. Кажется, что «сбой не виден» связан с тем, что имя не разрешается: https://cloud.google.com/load-balancing/docs/ssl-certificates/troubleshooting
0
Ответить
Abhishek Rai avatar
флаг ae
Abhishek Rai
Я создал там зону. `demo.abhikube.tk` . Это зона, которая сопоставляется со статическим IP-адресом в балансировщике нагрузки. Так что я не знаю, чего не хватает с этого конца.
0
Ответить
Рейтинг:1
Anant Swaraj avatar Server
флаг cn
Anant Swaraj
  • Убедитесь, что вы выполнили Настройка DNSSEC у вашего регистратора, вы можете сделать это, создав запись DS для своего домена в родительской зоне, чтобы распознаватели знали, что ваш домен поддерживает DNSSEC, и могли проверить его данные.
  • Обновите записи DNS A и AAAA, чтобы они указывали на IP-адрес балансировщика нагрузки, проверьте здесь за помощью.
  • Убедитесь, что вы не пропустили ни одного упомянутого шага здесь при подготовке SSL-сертификатов, управляемых Google, и присоединении ваших сертификатов к правильному балансировщику нагрузки.
0 + 0
Abhishek Rai avatar
флаг ae
Abhishek Rai
Это было оно. К сожалению, я не могу этого сделать, поскольку Freenom не поддерживает DNSSEC в качестве регистратора. Ваш ответ правильный.. хотя.
1
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.