Este documento ha sido traducido utilizando tecnología de traducción automática. Si bien nos esforzamos por proporcionar traducciones precisas, no ofrecemos garantías sobre la integridad, precisión o confiabilidad del contenido traducido. En caso de discrepancia, la versión original en inglés prevalecerá y constituirá el texto autorizado.

Solución de problemas de certificados

¿Cómo sé si mis certificados están en formato PEM?

Puedes reconocer el formato PEM por las siguientes características:

  • El archivo comienza con el siguiente encabezado:

      -----BEGIN CERTIFICATE-----

  • El encabezado va seguido de una larga cadena de caracteres.

  • El archivo termina con un pie de página: ----END CERTIFICATE----

Ejemplo de certificado PEM:

----BEGIN CERTIFICATE-----
MIIGVDCCBDygAwIBAgIJAMiIrEm29kRLMA0GCSqGSIb3DQEBCwUAMHkxCzAJBgNV
... more lines
VWQqljhfacYPgp8KJUJENQ9h5hZ2nSCrI+W00Jcw4QcEdCI8HL5wmg==
-----END CERTIFICATE-----

Ejemplo de clave de certificado PEM:

-----BEGIN RSA PRIVATE KEY-----
MIIGVDCCBDygAwIBAgIJAMiIrEm29kRLMA0GCSqGSIb3DQEBCwUAMHkxCzAJBgNV
... more lines
VWQqljhfacYPgp8KJUJENQ9h5hZ2nSCrI+W00Jcw4QcEdCI8HL5wmg==
-----END RSA PRIVATE KEY-----

Si tu clave se parece al ejemplo a continuación, consulta Convertir una clave de certificado de PKCS8 a PKCS1.

-----BEGIN PRIVATE KEY-----
MIIGVDCCBDygAwIBAgIJAMiIrEm29kRLMA0GCSqGSIb3DQEBCwUAMHkxCzAJBgNV
... more lines
VWQqljhfacYPgp8KJUJENQ9h5hZ2nSCrI+W00Jcw4QcEdCI8HL5wmg==
-----END PRIVATE KEY-----

Convertir una clave de certificado de PKCS8 a PKCS1

Si estás utilizando un archivo de clave de certificado PKCS8, Rancher registrará la siguiente línea:

ListenConfigController cli-config [listener] failed with : failed to read private key: asn1: structure error: tags don't match (2 vs {class:0 tag:16 length:13 isCompound:true})

Para que esto funcione, necesitarás convertir la clave de PKCS8 a PKCS1 utilizando el comando a continuación:

openssl rsa -in key.pem -out convertedkey.pem

Ahora puedes usar convertedkey.pem como archivo de clave de certificado para Rancher.

¿Cuál es el orden de los certificados si quiero añadir mis intermedios?

El orden de añadir certificados es el siguiente:

-----BEGIN CERTIFICATE-----
%YOUR_CERTIFICATE%
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
%YOUR_INTERMEDIATE_CERTIFICATE%
-----END CERTIFICATE-----

¿Cómo valido mi cadena de certificados?

Puedes validar la cadena de certificados utilizando el binario openssl. Si la salida del comando (ver el ejemplo de comando a continuación) termina con Verify return code: 0 (ok), tu cadena de certificados es válida. El archivo ca.pem debe ser el mismo que añadiste al contenedor rancher/rancher.

Al utilizar un certificado firmado por una Autoridad de Certificación reconocida, puedes omitir el parámetro -CAfile.

Comando:

openssl s_client -CAfile ca.pem -connect rancher.yourdomain.com:443
...
    Verify return code: 0 (ok)