【笔记】Kubernetes 中手动及自动化证书更换步骤及注意事项

最新推荐文章于 2025-10-29 20:16:54 发布
原创 最新推荐文章于 2025-10-29 20:16:54 发布 · 940 阅读 · 9 ·
CC 4.0 BY-SA版权
本文为博主原创文章,未经博主允许不得转载。
文章标签:

#笔记 #kubernetes #自动化

如果 Kubernetes API 服务器的 TLS 证书过期,会导致客户端(如 kubectl)无法通过安全连接访问集群,需要及时更换证书。以下是 手动更换证书 的通用步骤(适用于非自动证书管理的集群,如 kubeadm 部署的集群)。

一、准备工作

  1. 备份现有证书证书默认存储在 /etc/kubernetes/pki/ 目录下,先备份旧证书以防万一:
cp -r /etc/kubernetes/pki/ /etc/kubernetes/pki_backup_$(date +%Y%m%d)
  1. 生成新证书所需的私钥和 CSR(证书签名请求)使用 OpenSSL 生成新的私钥和 CSR(以 API 服务器证书为例):
# 生成私钥 
openssl genrsa -out /etc/kubernetes/pki/apiserver.key 2048 
# 生成 CSR(需替换以下参数): 
# - `commonName (CN)`:通常为 API 服务器的主机名或 IP(如 `kube-apiserver`) 
# - `subjectAltName (SAN)`:包含 API 服务器的 IP、主机名、集群内部 DNS 等 
openssl req -new \ 
  -key /etc/kubernetes/pki/apiserver.key \ 
  -out /etc/kubernetes/pki/apiserver.csr \ 
  -subj "/CN=kube-apiserver" \ 
  -reqexts SAN \ 
  -config <(cat /etc/ssl/openssl.cnf <(echo "[SAN]")) \ 
  -extensions SAN \ 
  -addext "subjectAltName = DNS:kube-apiserver,DNS:kube-apiserver.kube-system.svc,IP:10.0.0.10,IP:192.168.1.100"  # 替换为实际的 SAN 值

注意:subjectAltName 需包含 API 服务器的所有访问地址(如集群内部 IP、负载均衡 IP、DNS 名称等)。

二、生成新证书(两种方式)

方式 1:使用现有 CA 证书签名(推荐)
如果集群原有 CA 证书未过期,可直接用其签名新证书:

# 使用集群 CA 证书签名 API 服务器证书 
openssl x509 -req \ 
  -in /etc/kubernetes/pki/apiserver.csr \ 
  -CA /etc/kubernetes/pki/ca.crt \ 
  -CAkey /etc/kubernetes/pki/ca.key \ 
  -CAcreateserial \ 
  -out /etc/kubernetes/pki/apiserver.crt \ 
  -days 3650  # 证书有效期(天),建议设置较长时间

方式 2:重新生成全新 CA 证书(适用于 CA 证书也过期的情况)
如果 CA 证书已过期,需重新生成 CA 及所有组件证书(风险较高,需谨慎操作):

# 生成新 CA 私钥和证书 
openssl genrsa -out /etc/kubernetes/pki/ca.key 2048 
openssl req -x509 \ 
  -key /etc/kubernetes/pki/ca.key \ 
  -out /etc/kubernetes/pki/ca.crt \ 
  -subj "/CN=Kubernetes-CA" \ 
  -days 3650 
# 使用新 CA 签名其他组件证书(如 apiserver、controller-manager、scheduler 等) 
# 参考方式 1 的步骤,替换 CA 为新生成的 ca.crt 和 ca.key

三、替换证书并重启服务

  1. 替换 API 服务器证书将新生成的 apiserver.crt 和 apiserver.key 替换到对应目录:
mv /etc/kubernetes/pki/apiserver.crt{.old,}  # 备份旧证书 
mv /etc/kubernetes/pki/apiserver.key{.old,} 
cp /path/to/new/apiserver.crt /etc/kubernetes/pki/ 
cp /path/to/new/apiserver.key /etc/kubernetes/pki/
  1. 重启 kube-apiserver 服务在控制平面节点上执行:
systemctl restart kube-apiserver 
systemctl status kube-apiserver  # 检查服务状态是否正常
  1. 更新其他组件的证书(如有需要)如果其他组件(如 kube-controller-manager、kube-scheduler、kubelet、kubeproxy 等)的证书也依赖旧 CA,需同步更新它们的证书,步骤类似 API 服务器。

四、验证证书更新

  1. 检查证书有效期
openssl x509 -noout -dates -in /etc/kubernetes/pki/apiserver.crt

确保 notAfter 时间为未来日期。

  1. 测试客户端连接使用 kubectl 命令验证是否能正常连接集群:
kubectl get nodes 
# 若提示权限问题,可能需要更新 kubeconfig 中的 CA 证书(替换为新 ca.crt 的内容)
  1. 更新 kubeconfig 中的 CA 证书(如果 CA 已更换)如果重新生成了 CA 证书,需将新 ca.crt 内容更新到 kubeconfig(默认路径:~/.kube/config):
kubectl config set-cluster kubernetes \ 
  --certificate-authority=/etc/kubernetes/pki/ca.crt \ 
  --embed-certs=true \ 
  --server=https://<API_SERVER_IP>:6443

五、自动化证书管理(推荐方案)

为避免手动维护证书的复杂性,建议使用 证书自动轮换工具:

  1. Kubernetes 自带的证书轮换,对于 kubeadm 部署的集群,可启用自动证书更新:
kubeadm alpha certs renew all  # 手动触发更新(1.20+ 版本支持自动轮换)
  1. 使用 cert-manager通过 cert-manager 管理 Kubernetes 内的证书,支持 Let’s Encrypt、自签名等多种类型,实现证书自动申请、更新和续签。

注意事项:

  1. 生产环境谨慎操作:证书更换可能导致集群短暂中断,建议在维护窗口进行,并提前备份数据。
  2. 同步多控制平面节点:如果是多 master 集群,需在所有控制节点上执行证书替换和服务重启。
  3. 监控证书有效期:定期检查证书状态,可通过脚本或工具(如 kubectl cert)设置告警。
20250708-2-Kubernetes 集群部署、配置和验证-使用kubeadm快速部署一个K8s集群_笔记
07-08 975
1. 执行kubeadm init命令。1. 执行kubeadm join命令。安装kubeadm/kubelet。docker pull 阿里云镜像。1. Token有效期问题。SELinux默认开启需关闭。使用kubeadm init。注意API Server地址。执行kubeadm join。关闭防火墙和SELinux。1. 安装Docker。防火墙规则会影响节点通信。需配置Service类型。1. 前提条件与准备。Master节点初始化。1. 网络部署过程。设置主机名和时间同步。
GitLab CI_CD完整教程:后端项目的自动化部署
AI架构全栈开发实战笔记
08-28 906
想象一下这样的场景:你刚写完一个后端接口,测试通过后准备部署到服务器。你需要手动登录服务器,停止服务,拉取代码,安装依赖,启动服务,整个过程花了20分钟。如果一天要部署5次,就浪费了100分钟——这几乎是两个小时的宝贵开发时间!更糟的是,手动操作总会有疏漏:忘了执行数据库迁移、配置文件改错了地方、甚至不小心删除了重要文件…本文的目的。
K8S证书过期解决办法之替换证书
热门推荐
q_hsolucky的博客
06-20 1万+
k8s证书过期解决方案之替换证书
kubernetes集群更换证书(设置100年证书)
菜鸟运维升级之路
04-14 2258
操作系统: centos7.9 x86_64安装方式: kubeadm
certbot+shell+阿里云api+k8s实现自动化更新SSL证书
最新发布
weixin_45717886的博客
10-29 473
本文介绍了使用certbot、shell脚本、阿里云API和k8s实现SSL证书自动化更新的完整方案。主要内容包括: 安装配置certbot和jq工具 创建RAM用户并配置API权限策略 安装阿里云CLI工具进行身份验证 安装certbot-dns-aliyun插件实现DNS验证 编写自动化脚本实现证书上传到阿里云CAS服务 支持通配符证书处理 自动扫描k8s集群中的Ingress资源 该方案解决了手动更新证书的繁琐问题,实现了从证书申请、验证到部署的全流程自动化,提升了运维效率。
K8S 证书替换
别来沾边儿
07-29 609
修改ignress,修改tls的secret为新创建的。#创建secret。
k8s更换过期证书
树袋熊
05-11 5271
首先查看当前证书到期时间 for item in `find /etc/kubernetes/pki -maxdepth 2 -name "*.crt"`;do openssl x509 -in $item -text -noout| grep Not;echo ======================$item===================;done 备份过期证书 备份证书 cp -rp /etc/kubernetes /etc/kubernetes.bak 更新新证书 生成新证书
Kubernetes集群更换证书(正常更新方法、和更新证书为99年)
虫虫的博客
03-29 2497
Kubernetes集群更换证书(正常更新方法、和更新证书为99年)
kubeadm初始化的k8s集群,证书默认是1年的延期-详细笔记资料包
06-27
Kubernetes(简称k8s)是...综上所述,了解和掌握kubeadm初始化的Kubernetes集群中证书的默认有效期及延期方法是集群稳定运行的关键。定期维护和更新证书,不仅可以保证通信安全,还能防止因证书过期引发的服务中断。
kubernetes深入浅出(全网独一无二笔记)
weixin_47507435的博客
05-22 560
作为一位拥有超过10年运维经验和5年以上DevOps经验的专业人士,你积累了丰富的实战知识和资料。以下是如何生动地应用这些资料帮助新秀在未来行业中取得成功: 1. 宝贵经验的宝库:将你在运维和DevOps领域积累的实战经验和知识整理成一个宝库。这个宝库包括解决常见问题的妙招、最佳实践、故障排除指南和实用工具的使用方法等。让这个宝库像宝藏一样,帮助新秀快速学习和解决问题。 2. 导师指导的航向灯:利用你的经验,担任新秀的导师,为他们提供指导和培训。可以组织内部培训课程,分享你的实战经验和行业趋势。此外,与
20250726-2-Kubernetes 网络-Service 定义与创建_笔记
07-26 297
标签位置:Deployment中有三处定义标签的地方最上层metadata.labels为可选通用标签spec.selector.matchLabels为必选匹配标签spec.template.metadata.labels为Pod模板标签作用区别:通用标签:主要用于资源筛选和查询,可任意定义匹配标签:必须与Pod模板标签一致,用于Service关联项目隔离: 不同项目的标签必须保持唯一性,避免Service关联错误。
k8s- kubernetes证书过期替换kubeadm命令 certs renew all方式
liuyij3430448的博客
04-27 7839
**k8s集群之间的访问会使用到证书,如果使用kubeadm搭建的集群,默认CA证书的有效期为10年,其他组件访问证书的有效期为1年。如果过期后没有更新证书可能会引起k8s集群的不可用**
自建k8s集群证书到期的更换
麦兜爱说谎
03-16 1174
1、说明 一般正常安装k8s集群,集群证书的有效期是一年,包括以下证书: - apiserver - apiserver-kubelet-client - apiserver-etcd-client - front-proxy-client - etcd/server - etcd/peer - etcd/healthcheck-client 2、证书过期问题解决办法 对于手动生成的证书 手动安装过程中,只需指定证书的过期时间为N天...
手动更换SSL证书教程及注意事项
一勺菠萝丶的博客
10-09 7327
手动更换SSL证书并不复杂,但需要谨慎操作。本文介绍了从备份旧证书、上传新证书、修改Nginx配置文件、重新加载Nginx到验证证书是否生效的全流程。
k8s证书更新
kali_yao的博客
02-21 7226
1.故障现象 k8s安装一年后证书显示过期。证书未自动续期。 2.更新过程 一下操作需到所有master节点操作 下载kubeadm 一般情况下,k8s创建的集群节点上的/usr/bin/文件夹下会存在kubeadm二进制文件,如果发现master节点上没有kubeadm,可以从官方下载。以amd64架构1.16.9版本的kubeadm为例子,可以通过curl -L --remote-name-all https://storage.googleapis.com/kubernetes-r
k8s 证书过期更新
瞅自己都上火的博客
11-07 291
首先查看当前证书到期时间 for item in `find /etc/kubernetes/pki -maxdepth 2 -name "*.crt"`;do openssl x509 -in $item -text -noout| grep Not;echo ======================$item===================;done 备份过期证书
kubeadm修改证书有效期
屈帅波的技术博客
09-20 2895
如果更新k8s版本会默认更新证书 检查证书有效期(一部分10年一部分1年) openssl x509 -in apiserver.crt -text -noout 1、go 环境部署 https://studygolang.com/dl wget https://dl.google.com/go/go1.12.7.linux-amd64.tar.gz tar -zxvf go1.12.1.l...
K8S(kubeadm版)更新证书
ArrogantB的博客
03-18 3260
k8s证书过期更换kubeadm方式更换证书
kubernetes证书更新
虫虫的博客
02-21 1717
kubernetes证书更新
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值