k8s证书可用年限的修改

最新推荐文章于 2023-09-08 14:34:59 发布
最新推荐文章于 2023-09-08 14:34:59 发布
阅读量552 收藏 1
点赞数
分类专栏: k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Rio520/article/details/116232989
版权

证书可用时间

查看当前集群使用证书的时间

[root@k8s-master01 kibana]# cd /etc/kubernetes/pki
[root@k8s-master01 pki]# openssl x509 -in apiserver.crt  -text -noout
...
...
Validity
            Not Before: Apr 27 01:19:41 2021 GMT
            Not After : Apr 27 01:19:41 2022 GMT
....
...

可用年限一年

[root@k8s-master01 pki]# openssl x509 -in ca.crt  -text -noout 
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 0 (0x0)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN=kubernetes
        Validity
            Not Before: Apr 27 01:19:41 2021 GMT
            Not After : Apr 25 01:19:41 2031 GMT

可用年限一年

当集群更新的时候,证书也会自动更新
如果能保证集群每年都更新,就不需要考虑证书年限的问题

集群证书年限的修改思路

1.部署一个go语言环境
2.把kubenetes的代码克隆下来
3.修改证书策略
4.编译kubeadm文件
5.更新kubeadm文件(记得备份)
5.生成证书
6.更换证书(更换之前记得备份)
7.查看新证书的年限

go 环境部署

(版本不要下载最新的否则编译会报错)

[root@k8s-master01 ~]# mkdir /data
[root@k8s-master01 data]# wget https://dl.google.com/go/go1.12.7.linux-amd64.tar.gz
[root@k8s-master01 data]# tar -xf go1.12.7.linux-amd64.tar.gz -C /usr/local/
[root@k8s-master01 data]# vim /etc/profile
export PATH=$PATH:/usr/local/go/bin
[root@k8s-master01 data]# source /etc/profile
[root@k8s-master01 data]# go version
go version go1.12.7 linux/amd64

克隆k8s的项目(需要一段时间)下载半天只为修改个时间

[root@k8s-master01 data]# git clone https://github.com/kubernetes/kubernetes.git

查看kubeadm版本

[root@k8s-master01 data]# kubeadm  version
kubeadm version: &version.Info{Major:"1", Minor:"15", GitVersion:"v1.15.1", GitCommit:"4485c6f18cee9a5d3c3b4e523bd27972b1b53892", GitTreeState:"clean", BuildDate:"2019-07-18T09:15:32Z", GoVersion:"go1.12.5", Compiler:"gc", Platform:"linux/amd64"}

切换到当前的版本

[root@k8s-master01 data]# cd kubernetes/
[root@k8s-master01 kubernetes]# git checkout -b remotes/origin/release-1.15.1 v1.15.1
切换到一个新分支 'remotes/origin/release-1.15.1'

修改 Kubeadm 源码包更新证书策略
staging/src/k8s.io/client-go/util/cert/cert.go # kubeadm 1.14 版本之前
cmd/kubeadm/app/util/pkiutil/pki_helpers.go # kubeadm 1.14 至今

[root@k8s-master01 kubernetes]# vim cmd/kubeadm/app/util/pkiutil/pki_helpers.go
// NewSignedCert creates a signed certificate using the given CA certificate and key
func NewSignedCert(cfg *certutil.Config, key crypto.Signer, caCert *x509.Certificate, caKey crypto.Signer) (*x509.Certificate, error) {
        const duration365d = time.Hour * 24 * 365 * 10   #新增一个常量,这个意思是1个小时*24*365*10=10年
        serial, err := cryptorand.Int(cryptorand.Reader, new(big.Int).SetInt64(math.MaxInt64))
        if err != nil {
                return nil, err
        }
        if len(cfg.CommonName) == 0 {
                return nil, errors.New("must specify a CommonName")
        }
        if len(cfg.Usages) == 0 {
                return nil, errors.New("must specify at least one ExtKeyUsage")
        }

        certTmpl := x509.Certificate{
                Subject: pkix.Name{
                        CommonName:   cfg.CommonName,
                        Organization: cfg.Organization,
                },
                DNSNames:     cfg.AltNames.DNSNames,
                IPAddresses:  cfg.AltNames.IPs,
                SerialNumber: serial,
                NotBefore:    caCert.NotBefore,
                NotAfter:     time.Now().Add(kubeadmconstants.CertificateValidity).UTC(),  #改为time.Now().Add(duration365d).UTC(),
                KeyUsage:     x509.KeyUsageKeyEncipherment | x509.KeyUsageDigitalSignature,
                ExtKeyUsage:  cfg.Usages,
        }
        certDERBytes, err := x509.CreateCertificate(cryptorand.Reader, &certTmpl, caCert, key.Public(), caKey)
        if err != nil {
                return nil, err
        }

编译kubeadm

[root@k8s-master01 kubernetes]# make WHAT=cmd/kubeadm GOFLAGS=-v
[root@k8s-master01 kubernetes]# cp _output/bin/kubeadm /root/kubeadm-new

更新 kubeadm(更新之前记得先备份)
将 kubeadm 进行替换

[root@k8s-master01 ~]# cp /usr/bin/kubeadm  /usr/bin/kubeadm.old
[root@k8s-master01 ~]# cp /root/kubeadm-new /usr/bin/kubeadm
cp:是否覆盖"/usr/bin/kubeadm"? y
[root@k8s-master01 ~]# chmod +x /usr/bin/kubeadm

备份pki目录

[root@k8s-master01 kubernetes]# cp -r pki pki.old

生成证书文件(这个config文件是初始化集群时候的配置)

[root@k8s-master01 ~]# kubeadm alpha certs renew all --config=/usr/local/install-k8s/core/kubeadm-config.yaml
certificate embedded in the kubeconfig file for the admin to use and for kubeadm itself renewed
certificate for serving the Kubernetes API renewed
certificate the apiserver uses to access etcd renewed
certificate for the API server to connect to kubelet renewed
certificate embedded in the kubeconfig file for the controller manager to use renewed
certificate for liveness probes to healtcheck etcd renewed
certificate for etcd nodes to communicate with each other renewed
certificate for serving etcd renewed
certificate for the front proxy client renewed
certificate embedded in the kubeconfig file for the scheduler manager to use renewed

查看证书的年限

[root@k8s-master01 ~]# cd /etc/kubernetes/pki
[root@k8s-master01 pki]# openssl  x509 -in apiserver.crt  -text -noout
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 3637387775685121508 (0x327a98e9080f55e4)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN=kubernetes
        Validity
            Not Before: Apr 27 01:19:41 2021 GMT
            Not After : Apr 25 08:45:34 2031 GMT

年限10年

[root@k8s-master01 pki]# openssl  x509 -in apiserver.crt  -text -noout
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 3637387775685121508 (0x327a98e9080f55e4)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN=kubernetes
        Validity
            Not Before: Apr 27 01:19:41 2021 GMT
            Not After : Apr 25 08:45:34 2031 GMT

更新各节点证书

集群其余节点证书更新

[root@k8s-node01 pki]# scp root@10.14.2.150:/etc/kubernetes/pki/ca.crt  ./
[root@k8s-node02 pki]# scp root@10.14.2.150:/etc/kubernetes/pki/ca.crt  ./

也可以通过脚本方式

#!/bin/bash
masterNode="10.14.2.151 10.14.2.152"
#for host in ${masterNode}; do
#
"${USER}"@$host:/etc/kubernetes/pki/
#
#
scp /etc/kubernetes/pki/{ca.crt,ca.key,sa.key,sa.pub,front-proxy-ca.crt,front-proxy-ca.key}
scp /etc/kubernetes/pki/etcd/{ca.crt,ca.key} "root"@$host:/etc/kubernetes/pki/etcd
scp /etc/kubernetes/admin.conf "root"@$host:/etc/kubernetes/
#done
for host in ${CONTROL_PLANE_IPS}; do
scp /etc/kubernetes/pki/{ca.crt,ca.key,sa.key,sa.pub,front-proxy-ca.crt,front-proxy-ca.key}
"${USER}"@$host:/root/pki/
scp /etc/kubernetes/pki/etcd/{ca.crt,ca.key} "root"@$host:/root/etcd
scp /etc/kubernetes/admin.conf "root"@$host:/root/kubernetes/
done

到这里证书可用年限就修改完成了

Rio520
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
k8s证书修改为10年文件
06-13
k8s证书修改为10年文件
《Kubernets证书篇:kubernetes1.20.6证书修改时间限制》
热门推荐
东城绝神
09-16 1万+
文章目录一、背景二、查看证书有效期三、go环境部署四、下载K8S源码五、修改Kubeadm源码包更新证书策略六、查看证书有效期七、其它Master节点总结:整理不易,如果对你有帮助,可否点赞关注一下? 一、背景 Kubernetes 默认的证书有效期只有1年,因此需要每年手动更新一次节点上面的证书,特别麻烦而且更新过程中可能会出现问题,因此我们要对 Kubernetes 的 SSL 证书有效期进行修改,这里将证书的时间限制修改为100年。 二、查看证书有效期 kubeadm alpha certs
《Kubernets证书篇:kubernetes1.24.12证书修改时间限制》
东城绝神
04-04 501
《Kubernets证书篇:kubernetes1.24.12证书修改时间限制》
k8s--100年证书?验证
weixin_41410744的博客
09-08 1249
想要安全就必须复杂起来,证书是少不了的。在Kubernetes中提供了非常丰富的证书类型,满足各种不同场景的需求。在最初搭建K8S过程中,网上的资料都没有提到K8S还有证书到期的情况,这就导致最开始部署的环境都是1年到期。从这点上说明网上的知识也是不那么权威的,需要我们在其基础上,多思考,多总结,想全面一点。
k8s集群证书有效期修改
xhredeem的博客
01-16 2895
kubeadm 部署k8s集群证书有效期修改
Kubernetes(k8s)-v1.22.3版本证书有效期修改
听海归雪的博客
01-13 2000
用了一段时间k8s发现这个SSL证书的一年有效期时间的坑还是迈不过去,问题 来了,我们就要去解决 一、环境 CentOS Linux release 7.7.1908 (Core) 3.10.0-1062.el7.x86_64 kubeadm-1.22.3-0.x86_64 kubelet-1.22.3-0.x86_64 kubectl-1.22.3-0.x86_64 kubernetes-cni-0.8.7-0.x86_64 主机名 IP VIP k8s-master01 .
K8S可用集群架构实现
01-27
Kubernetes作为近几年最具颠覆性的容器编排技术,广泛应用与企业的生产环境中,相较于前几年的docker-swarm的编排方式,...在基于前面搭建的k8s集群,如下k8s-master1192.168.175.128k8s-master2192.168.175.1
K8S集群证书监控ssl-exporter监控模板
01-14
原文链接:https://blog.csdn.net/m0_37814112/article/details/122349602
k8s证书过期处理方案
11-17
k8s默认的证书有效期为一年,在实际生产中,经常遇到证书过期导致的节点故障问题。 K8S集群证书过期后,会导无法创建Pod,通过kubectl get nodes也无法获取信息,甚至dashboard也无法访问。 执行命令发现报错: ...
实战:k8s证书续签-2023.6.19(测试成功)
weixin_39246554的博客
06-23 3108
k8s集群核心的证书有2套,还有1套非核心的(即使出问题也问题不大)。⚠️ 如果是kubeadm搭建的k8s集群,其有效期为1年。二进制搭建可以指定证书过期时间的。
升级K8S证书有效期为100年操作说明
数通畅联
01-21 3914
之前K8S集群默认使用1年期限,现在已不能满足实际需要,需要升级K8S证书有效期为100年。本文针对升级k8S证书有效期为100年的操作进行说明讲解。
K8s修改api-server证书为10年
m0_45426059的博客
12-06 474
api-server如何修改证书年限
修改k8s证书可用时限
wwe978284618的博客
12-27 430
1、go 环境部署 wget https://dl.google.com/go/go1.12.7.linux-amd64.tar.gz tar -zxvf go1.12.1.linux-amd64.tar.gz -C /usr/local vi /etc/profile export PATH=$PATH:/usr/local/go/bin source /etc/profile 2、下载源码 c...
Kubernetes 证书可用年限修改
果子哥丶的博客
10-10 426
证书可用年限修改 [root@k8s-master01 pki]# openssl x509 -in apiserver.crt -text -noout 先下载kubeadm的源码,针对apiserver一年年限证书分发的函数进行修改,由1年改为10年。(需要go语言的环境) go中文社区 1.go语言环境 [root@k8s-master01 data]# tar -zxvf go1.15.2.linux-amd64.tar.gz -C /usr/local [root@k8s-master01 da
K8S 更新10年有效期证书
会哭的雨@的博客
03-05 4703
背景: k8s默认证书有效期为1年,需要更新证书有效期&加入证书自动更新机制 因k8s代码策略更新,导致延长有效期会有两套方案 v1.18支持--use-api参数,从controller-manager配置中获取证书有效期时间 kubeadm alpha certs renew all --use-api 接受更新请求 kubeadmcertificate approve REQUEST_NAME v1.19不支持--use-api参数,默..
Kubernetes K8S之SSL证书有效期修改
踏歌行的专栏
08-02 1297
如何修改Kubernetes的SSL证书有效期
修改 K8S 证书默认有效期
艾希射日
08-22 2272
通过 kubeadm 创建集群后,其默认生成的证书有效期为 1 年,目测很多同学都遇到过证书过期的坑。之前写了一篇博客 K8S 证书过期后,kubeadm 重新生成证书 介绍如何在过期后重新生成证书。但重新生成后的证书有效期依然只有一年,每年都重新生成一遍的话未免太过麻烦,本篇博客就介绍下如何一劳永逸的解决证书签名有效期的问题。 修改默认有效期的方法很简单,其一年的有效期是在源码中写死的,因此我们只需要下载源码将默认有效期修改一下,然后重新编译生成 kubeadm 命令就可以了。 这里麻烦的是 K8S
10,kubernetes-证书有效期修改
荏苒化蝶
07-23 810
1,证书有效期问题 kubeadm初始化k8s集群,签发的CA证书有效期默认是10年,签发的apiserver证书有效期默认是1年,到期之后请求apiserver会报错,使用openssl命令查询相关证书是否到期。 一下延长证书有效期的方法适合kubernetes1.14、1.15、1.16、1.17、1.18版本。 2,查看证书有效期 2.1 查看CA证书有效期 # openssl x509 -in /etc/kubernetes/pki/ca.crt -noout -text |gre
修改k8s证书有效期时间
red_sky_blue的专栏
07-26 1167
k8s集群证书有效期更新
k8s证书认证考试资料
最新发布
09-17
K8s证书认证考试是Kubernetes官方提供的一项认证考试,旨在评估考生对Kubernetes的深入理解和运维能力。参加该考试需要准备相应的资料,以下是关于K8s证书认证考试资料的介绍。 1. Kubernetes官方文档:K8s官方提供...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Rio520

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值