ETCD 安全证书(1)

最新推荐文章于 2024-11-11 16:00:21 发布
最新推荐文章于 2024-11-11 16:00:21 发布
阅读量525 收藏 6
点赞数 17
文章标签: etcd 安全 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_86640612/article/details/141980634
版权

3、添加可执行权限

[root@localhost etcd]# chmod +x /usr/bin/{cfssl,cfssljson}

4、配置CA选项

[root@localhost etcd]# mkdir etcd-ca-gen

[root@localhost etcd]# cd etcd-ca-gen

[root@localhost etcd]# cat > ca-config.json << EOF

{

“signing”: {

“default”: {

“expiry”: “43800h”

},

“profiles”: {

“server”: {

“expiry”: “43800h”,

“usages”: [

“signing”,

“key encipherment”,

“server auth”,

“client auth”

]

},

“client”: {

“expiry”: “43800h”,

“usages”: [

“signing”,

“key encipherment”,

“client auth”

]

},

“peer”: {

“expiry”: “43800h”,

“usages”: [

“signing”,

“key encipherment”,

“server auth”,

“client auth”

]

}

}

}

}

EOF

[root@localhost etcd]# cat > ca-csr.json <<EOF

{

“CN”: “WAE Etcd CA”,

“key”: {

“algo”: “rsa”,

“size”: 2048

},

“names”: [

{

“C”: “CN”,

“L”: “FJ”,

“ST”: “Xia Men”

}

]

}

EOF

5、生成CA证书

[root@localhost etcd]# cfssl gencert -initca ca-csr.json | cfssljson -bare ca -#将会生成以下几个文件:

ca-key.pem

ca.csr

ca.pem

6、生成服务器端证书

[root@localhost etcd]# cat > server.json <<EOF

{

“CN”: “WAE Etcd Server”,

“hosts”: [

“127.0.0.1”,

“etcd1-com-hakim.com”,

“etcd2-com-hakim.com”,

“etcd3-com-hakim.com”,

“etcd4-com-hakim.com”,

“etcd5-com-hakim.com”

],

“key”: {

“algo”: “rsa”,

“size”: 2048

},

“names”: [

{

“C”: “CN”,

“L”: “FJ”,

“ST”: “Xia Men”

}

]

}

EOF

[root@localhost etcd]# cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=server server.json | cfssljson -bare server

7、生成对等证书

$ cp server.json member.json

$ cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=peer member.json | cfssljson -bare member

8、生成客户端证书

[root@localhost etcd]# cat > client.json <<EOF

{

“CN”: “client”,

“hosts”: [“”],

“key”: {

“algo”: “rsa”,

“size”: 2048

},

“names”: [

{

“C”: “CN”,

“L”: “FJ”,

“ST”: “Xia Men”

}

]

}

EOF

[root@localhost etcd]# cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=client client.json | cfssljson -bare client

9、保存证书和密钥

将所有 pem 文件复制到 /etc/etcd/etcd-ca/ 目录下,命令如下:

[root@localhost etcd]# mkdir /etc/etcd/etcd-ca/

[root@localhost etcd]# cp *.pem /etc/etcd/etcd-ca/

三、配置Etcd

增加etcd配置文件,内容如下:

[root@localhost etcd]# vim /etc/etcd/etcd.conf

[member]

ETCD_NAME=etcd1

ETCD_DATA_DIR=“/var/lib/etcd/data”

ETCD_LISTEN_PEER_URLS=“https://0.0.0.0:2380”

ETCD_LISTEN_CLIENT_URLS=“https://0.0.0.0:2379”

#[cluster]

ETCD_INITIAL_ADVERTISE_PEER_URLS=“https://etcd1-com-hakim.com:2380”

ETCD_INITIAL_CLUSTER=“etcd1=https://etcd1-com-hakim.com:2380,etcd2=https://etcd2-com-hakim.com:2380,etcd3=https://etcd3-com-hakim.com:2380,etcd4=https://etcd4-com-hakim.com:2380,etcd5=https://etcd5-com-hakim.com:2380”

ETCD_INITIAL_CLUSTER_STATE=“new”

ETCD_INITIAL_CLUSTER_TOKEN=“etcd-cluster”

ETCD_ADVERTISE_CLIENT_URLS=“https://etcd1-com-hakim.com:2379”

#[security]

ETCD_CERT_FILE=“/etc/etcd/etcd-ca/server.pem”

ETCD_KEY_FILE=“/etc/etcd/etcd-ca/server-key.pem”

ETCD_CLIENT_CERT_AUTH=“true”

ETCD_TRUSTED_CA_FILE=“/etc/etcd/etcd-ca/ca.pem”

ETCD_AUTO_TLS=“true”

ETCD_PEER_CERT_FILE=“/etc/etcd/etcd-ca/member.pem”

ETCD_PEER_KEY_FILE=“/etc/etcd/etcd-ca/member-key.pem”

ETCD_PEER_CLIENT_CERT_AUTH=“true”

ETCD_PEER_TRUSTED_CA_FILE=“/etc/etcd/etcd-ca/ca.pem”

ETCD_PEER_AUTO_TLS=“true”

2401_86640612
关注
ETCD 安全证书
2401_84239625的博客
04-28 741
,“signing”,},“signing”,},“peer”: {“signing”,EOF“key”: {},“names”: [“C”: “CN”,“L”: “FJ”,EOF[root@localhost etcd]# cfssl gencert -initca ca-csr.json | cfssljson -bare ca -#将会生成以下几个文件:ca-key.pemca.csrca.pem“hosts”: [],“key”: {},
2024年网络安全最新ETCD 安全证书(2)
2401_84296945的博客
05-01 963
EOF[root@localhost etcd]# cfssl gencert -initca ca-csr.json | cfssljson -bare ca -#将会生成以下几个文件:ca-key.pemca.csrca.pem“hosts”: [],“key”: {},“names”: [“C”: “CN”,“L”: “FJ”,EOF“key”: {},“names”: [“C”: “CN”,“L”: “FJ”,EOF。
2024年网安最全ETCD 安全证书(1)
2401_84264630的博客
05-01 78
,“names”: [“C”: “CN”,“L”: “FJ”,EOF[root@localhost etcd]# cfssl gencert -initca ca-csr.json | cfssljson -bare ca -#将会生成以下几个文件:ca-key.pemca.csrca.pem“hosts”: [],“key”: {},“names”: [“C”: “CN”,“L”: “FJ”,EOF“key”: {},“names”: [“C”: “CN”,
ETCD 安全模式
2401_87034325的博客
09-11 1067
让我们一步一步配置 etcd 来提供简单的 HTTPS 传输安全:应该可以启动,可以通过使用 HTTPS 访问 etcd 来测试配置:该命令应该显示握手成功。由于我们用自己的证书颁发机构使用自签名证书,CA必须使用--cacert选项传递给curl。另一种可能性是将CA证书添加到系统的可信证书目录(通常位于或)中。: curl 7.30.0 在 OSX 10.9+ 不能理解通过命令行传递的证书. 取而代之的,将虚拟 ca.crt 直接导入 keychain 或给 curl 添加-k标志来忽略错误。
springboot异步任务原理,ETCD 安全证书
2401_83703893的博客
04-18 427
小编也是很有感触,如果一直都是在中小公司,没有接触过大型的互联网架构设计的话,只靠自己看书去提升可能一辈子都很难达到高级架构师的技术和认知高度。向厉害的人去学习是最有效减少时间摸索、精力浪费的方式。我们选择的这个行业就一直要持续的学习,又很吃青春饭。虽然大家可能经常见到说程序员年薪几十万,但这样的人毕竟不是大部份,要么是有名校光环,要么是在阿里华为这样的大企业。年龄一大,更有可能被裁。送给每一位想学习Java小伙伴,用来提升自己。
etcd搭建带证书集群
SharkVeryBusy的博客
05-17 587
etcd集群搭建,及基本操作
Kubernetes 安全系列之: ETCD证书暴露攻击
SRE进阶之路
08-31 682
据悉,一个运行在单节点 Kubernetes 上的证书管理工具能够读取 TLS 证书以访问 API server的 etcd 存储。黑客将利用此读取访问权限来获取其他的权限级别从而掌控系统。本文将重现攻击以验证漏洞并了解如何修复它。...
Etcd教程 — 第四章 Etcd集群安全配置_etcd 集群配置
2401_84239625的博客
04-28 1163
本文是在Etcd教程 — 第二章 Etcd集群静态发现 2.3节基础上进行的。: 用于服务端认证客户端,例如etcdctl、etcd proxy、fleetctl、docker客户端。: 服务端使用,客户端以此验证服务端身份,例如docker服务端、kube-apiserver。: 双向证书,用于etcd集群成员间通信。
etcd用户、角色及证书配置
zhangxm_qz的博客
11-17 8912
文章目录访问安全etcd权限分类etcd 访问控制传输安全生成证书配置使用证书 访问安全 在 2.1 版本之前, etcd 是 一个完全开放的系统,任何用户都可以通过 REST API 修改 etcd 存储的数据。 etcd 在 2.1 版本中增加了用户( User )和角色( Role )的概念,引入了用户认证的功能 。 为了保持向后兼容性和可升级性, etcd 的用户权限功能默认是关闭的 。 etcd 支持安全认证以及权限管理。 etcd 的权限管理借鉴了操作系统的权限管理思想,存在 用户和角色(分组
Kubernetes 证书一键生成(包含 etcd 证书)
04-30
etcd证书用于确保其与Kubernetes API服务器之间的通信安全。API服务器需要能够验证etcd的身份,反之亦然。 **一键生成证书** 这个项目提供的"config.yaml"配置文件用于定义证书的详细属性,如主体名称、有效期、...
etcdetcd集群实践(六)
YIYIYI
11-11 720
etcdetcd集群实践(六)
Kubernetes中ETCD组件的作用
zuopiezia的博客
11-11 317
综上所述,etcd在Kubernetes中扮演了核心的角色,它不仅存储了集群的配置和状态信息,还支持集群的高可用性和一致性。它是Kubernetes能够正常运行和扩展的关键组件之一。在Kubernetes(k8s)中,etcd是一个关键的组件,它扮演着集群状态存储的角色,具有至关重要的作用。
AI与隐私:Facebook如何在数据保护中平衡创新与安全
2301_78954254的博客
11-07 639
在快速发展的数字时代,人工智能(AI)技术的应用正在为社交媒体平台带来前所未有的创新。然而,伴随着技术的进步,用户的隐私保护问题也愈加凸显。作为全球最大的社交网络之一,Facebook在推动AI技术应用的同时,必须面对如何在数据保护中实现创新与安全的平衡。本文将探讨Facebook在这一领域的策略和实践。
FileLink跨网文件安全摆渡系统——企业数据流转的安全桥梁
最新发布
weixin_44264342的博客
11-11 668
随着企业信息化建设的不断推进,跨网文件传输的需求日益增长,FileLink跨网文件安全摆渡系统通过全方位的安全保障与高效传输能力,成为企业解决跨网文件传输难题的理想选择。无论是对数据的加密保护、权限管理、合规审计,还是对传输效率的优化,FileLink都能够提供全面的解决方案,确保文件在内外网之间的安全、高效流转。如果您的企业正面临跨网文件传输的挑战,不妨选择FileLink,让它成为您企业数据流转的安全桥梁,助力企业信息流通的高效性和安全性,为您的业务发展保驾护航。
微软日志丢失事件敲响安全警钟
juminfo的博客
11-08 393
据报告,从9月2日至9月19日,持续长达两周的时间里,微软的多项核心云服务,包括身份验证平台Microsoft Entra、安全信息与事件管理(SIEM)平台Sentinel、云安全解决方案Defender for Cloud以及数据目录服务Purview,都经历了安全日志记录的空白期。系统可以实时、不间断地收集并整合各类设备的日志信息,通过先进的关联分析技术和机器学习手段,助力用户从庞杂的日志数据中快速识别异常安全事件,全面满足合规审计、分析调查及数据留存等多日志场景使用需求。
信息安全工程师(82)操作系统安全概述
m0_73399576的博客
11-08 1226
信息安全工程师——操作系统安全概述篇
【销帮帮-注册_登录安全分析报告-试用页面存在安全隐患】
weixin_46641057的博客
11-09 909
杭州逍邦网络科技有限公司成立于2015年,是国内一线CRM品牌和企服领域知名品牌。致力为客户提供专业的客户全生命周期管理和数字化销售管理服务,助力企业提升业绩,让企业更成功。销帮帮拥有强大而灵活的“PaaS+低代码”能力。在吸取了同行滑动验证码的经验后,自己研发了独特风格的那个验证码, 从逆向代码来看, 不仅借鉴了同行的技术原理,还在防抓取上下了功夫,防模拟器鼠标,物理鼠标和逻辑鼠标定位不一致判断措施,解决思路为让JS 这部分代码失效或这采用 物理定位鼠标的部分,目前采用的是物理鼠标的方式。
【AI写作宝-注册安全分析报告-无验证方式导致安全隐患】
11-08 619
AI写作宝是一款基于人工智能技术的在线写作辅助工具,由合肥风平网络信息科技有限公司开发。它旨在帮助用户提升写作效率,通过AI技术自动生成文章、文案、作文等,适用于多种写作场景。该网站好像属于灰色地带的业务, 网站介绍什么的都没有,更容易被黑客攻击, 好像对短信被盗刷的安全方面不够重视 ,测试结果就是随便你怎么攻击都可以,这也有点太开放了, 短信验证码难道不要钱吗?这对黑客来说肯定是好消息, 弄个简单的脚本就可以搞定很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“
【 AI写作鹅-注册安全分析报告-无验证方式导致安全隐患】
11-08 1002
合肥名阳信息技术有限公司成立于2016年,是一家专门从事移动互联网应用研发和运营的国家高新技术企业。公司坚持以用户为中心,打造富有吸引力的产品,满足移动互联网用户各项需求。公司产品涵盖:AI配音、AI写作、AiPPT、同声传译、文生视频,AI绘画、各种工具类应用,为消费者提供完善的办公、多媒体等领域的解决方案,秉承着专业、服务、高效、客户至上的原则,多年来致力于为用户提供服务新体验。
一键生成etcd集群SSL证书工具
该工具是为了在x86-64架构下自动化地创建etcd集群所需的安全证书,这对于构建一个安全的分布式键值存储系统至关重要。etcd是一个高可用的键值存储系统,广泛用于服务发现、配置管理和协调分布式工作。由于其在网络中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值