关键信息总结 1. 提交说明 提交ID: b9773bc 提交人: xpivarc 和 kubevirt-bot 提交日期: 2023年7月31日 提交内容: SetupTLSWithCertManager 现在强制使用 CN。Kubernetes 将提供 CN。如果为空,任何通过证书颁发机构验证的客户端证书都是允许的。 2. 变更内容 文件更改: 3 个文件被修改,增加了 55 行代码,删除了 4 行代码。 主要变更点: - 函数的变更,加入了对客户端证书 CN 的强制验证。 - 函数增加了对 CN 的校验逻辑,防止使用无效证书。 - 测试用例的调整,确保在 CN 为空或不正确时能正确处理。 3. 安全相关 检查客户端证书的 CN: 在 函数中,通过 获取允许的 CN 列表,并校验证书的 是否匹配,保证客户端身份合法性。 错误处理: 对于非法证书,返回相应的错误信息,如 "Common name is invalid",避免安全漏洞。 4. 代码测试 测试用例更新: 增加了对 CN 校验失败情况的测试用例,例如 "fail if client uses an invalid certificates (CN)" 和 "fail if server uses an invalid certificate"。 5. 其他信息 标签: (#15337) 和 v1.5.3。 父提交: ee13d10。 漏洞风险点 未校验 CN 前的隐患: 在此提交前,客户端证书的 CN 可能未被严格校验,存在潜在的中间人攻击等安全风险。 以上为从网页截图中提取的关键信息总结。