Linux使用CFSSL自签TLS证书

已于 2022-08-30 13:27:57 修改
阅读量981 收藏 2
点赞数 2
分类专栏: K8S 文章标签: linux kubernetes
于 2022-08-30 11:21:51 首次发布
原文链接:https://www.shuzhiduo.com/A/pRdBgnW2zn/
版权

CFSSL是CloudFlare开源的一款PKI/TLS工具(PKI = Publick Key Infrastructure 公钥基础设施 )。 CFSSL 包含一个命令行工具 和一个用于 签名,验证并且捆绑TLS证书的 HTTP API 服务。 使用Go语言编写。

项目地址: https://github.com/cloudflare/cfssl

下载地址: https://pkg.cfssl.org/

参考链接: https://blog.cloudflare.com/how-to-build-your-own-public-key-infrastructure/

⒈安装CFSSL

# 生成证书
wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64

# 利用Json生成证书
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64

# 查看证书信息的工具
https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64

⒉修改权限

chmod +x cfssl_linux-amd64 cfssljson_linux-amd64 cfssl-certinfo_linux-amd64

⒊移动文件

mv cfssl_linux-amd64 /usr/local/bin/cfssl
mv cfssljson_linux-amd64 /usr/local/bin/cfssljson
mv cfssl-certinfo_linux-amd64 /usr/local/bin/cfssl-certinfo

⒋验证指令

cfssl --help

5. 生成一个配置模板

cfssl print-defaults config > config.json

//默认生成的模板文件如下:

{
     "signing": {  //签名
         "default": {
             "expiry": "168h"  //默认过期时间
         },
         "profiles": {
             "www": {
                 "expiry": "8760h",
                 "usages": [
                     "signing",
                     "key encipherment",
                     "server auth"
                 ]
             },
             "client": {
                 "expiry": "8760h",
                 "usages": [
                     "signing",
                     "key encipherment",
                     "client auth"
                 ]
             }
         }
     }
 }

6. 生成证书信息文件

cfssl print-defaults csr > csr.json

# 默认生成的模板文件如下:
{
     "CN": "example.net",  //标识具体的域
     "hosts": [  //使用该证书的域名
         "example.net",
         "www.example.net"
     ],
     "key": {  //加密方式,一般RSA 2048
         "algo": "ecdsa",
         "size": 256
     },
     "names": [  //证书包含的信息,例如国家、地区等
         {
             "C": "US",
             "L": "CA",
             "ST": "San Francisco"
         }
     ]
 }

6. 示例:  生成配置模板及证书信息,如生成CA颁发机构的根证书

cat > ca-config.json <<EOF
 {
     "signing":{
         "default":{
             "expiry":"87600h"
         },
         "profiles":{
             "kubernetes":{
                 "expiry":"87600h",
                 "usages":[
                     "signing",
                     "key encipherment",
                     "server auth",
                     "client auth"
                 ]
             }
         }
     }
 }
 EOF
 
 cat > ca-csr.json <<EOF
 {
     "CN":"kubernetes",
     "key":{
         "algo":"rsa",
         "size":
     },
     "names":[
         {
             "C":"CN",
             "L":"Hebei",
             "ST":"Zhangjiakou",
             "O":"k8s",
             "OU":"System"
         }
     ]
 }
 EOF


# 使用证书信息文件生成证书
 cfssl gencert -initca ca-csr.json | cfssljson -bare ca -

7. 示例: CA机构给别人的证书,服务端的证书

# 别人的申请证书的信息
cat > server-csr.json << EOF
 {
     "CN":"kubernetes",
     "hosts":[
         "127.0.0.1",
         "192.168.0.211",
         "192.168.0.212",
         "192.168.0.213",
         "10.10.10.1",
         "kubernetes",
         "kubernetes.default",
         "kubernetes.default.svc",
         "kubernetes.default.svc.cluster",
         "kubernetes.default.svc.cluste.local"
     ],
     "key":{
         "algo":"rsa",
         "size":
     },
     "names":[
         {
             "C":"CN",
             "L":"Hebei",
             "ST":"Zhangjiakou",
             "O":"k8s",
             "OU":"System"
         }
     ]
 }
 EOF

# CA根据申请的信息生成证书
cfssl gencert -ca=ca.pem 
              -ca-key=ca-key.pem 
              -config=ca-config.json 
              -profile=kubernetes 
              server-csr.json | cfssljson -bare server

8. 示例:  CA给别人的信息, 集群管理员


# 申请证书的信息
cat > admin-csr.json <<EOF
 {
     "CN":"admin",
     "hosts":[],
     "key":{
         "algo":"rsa",
         "size":
     },
     "names":[
         {
             "C":"CN",
             "L":"Hebei",
             "ST":"Zhangjiakou",
             "O":"system:masters",
             "OU":"System"
         }
     ]
 }
 EOF


# CA根据申请信息颁发的证书
 cfssl gencert -ca=ca.pem 
               -ca-key=ca-key.pem 
               -config=ca-config.json 
               -profile=kubernetes 
               admin-csr.json | cfssljson -bare admin

9. 示例:kube-proxy申请的证书

# 申请证书的信息
cat > kube-proxy-csr.json <<EOF
 {
     "CN":"system:kube-proxy",
     "hosts":[],
     "key":{
         "algo":"rsa",
         "size":
     },
     "names":[
         {
             "C":"CN",
             "L":"Hebei",
             "ST":"Zhangjiakou",
             "O":"k8s",
             "OU":"System"
         }
     ]
 }
 EOF


# CA根据申请信息颁发的证书
 cfssl gencert -ca=ca.pem 
               -ca-key=ca-key.pem 
               -config=ca-config.json 
               -profile=kubernetes 
               kube-proxy-csr.json | cfssljson -bare kube-proxy

Richard123m
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
cfssl_linux-amd64
09-30
安装 CFSSL用到的三个文件
Linux中Nginx添加自签证书TLS的方法
09-15
主要介绍了Linux中Nginx中添加自签证书TLS 的方法,本文通过实例代码给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
Etcd教程 — 第四章 Etcd集群安全配置
Mr_XiMu的博客
06-22 2348
Etcd教程 — 第四章 Etcd集群安全配置
k8s--证书签发
yanghuadong的博客
02-09 1315
1.准备签发证书环境 运维主机 hdss-1-200.host.com上: 2.安装CFSSL 证书签发工具CFSSL:R1.2 cfssl下载地址https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 cfssl-json下载地址https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 cfssl-certinfo下载地址https://pkg.cfssl.org/R1.2/cfssl-certinfo_li...
cfssl使用方法重新整理说明
m0_46900715的博客
05-24 1382
cfssl使用方法重新整理说明
Kubernets安装签发证书
Bertram的博客
07-14 571
1.分别下载如下几个文件:cfsslcfssl-json、cfssl-certinfo cfssl下载连接地址: https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 cfssl-json下载连接地址: https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 cfssl-certinfo下载连接地址:https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 2.将下载到/usr
kubeadm高可以用搭建
hao20863的博客
12-14 326
kubeadm 搭建高可用,使用外部etcd
自签证书cfssl资源文件包
06-24
这个包里含有生成自签证书必要的工具,以及ca证书请求文件和ca证书策略,证书有效期为10年。
cfssl-certinfo_linux-adm64
09-02
cfssl-certinfo_linux-adm64
应用与CS模式的自签证书、.7z
04-30
可生成证书和私钥,证书可以直接导入到浏览器,可以使浏览器通过正式与服务器使用证书和私钥可以进行建立在ssl层的安全通信
self-signed-ssl:使用OpenSSL生成自签TLS证书
03-21
自签TLS该脚本可简化使用OpenSSL创建证书颁发机构和自签TLS证书的过程。用法self-signed-tls [OPTIONS]self-signed-tls --trust -c US -s California -l 'Los Angeles' -o 'Example Org' -u 'Example Unit'self-...
关于Linux线程的线程栈以及TLS
03-02
本文挑选了原则上是每线程私有的地址空间来讨论,分别是线程栈和TLS。原则山私有并不是真的私有,因为大家都知道线程的特点就是共享地址空间,原则私有空间就是一般而言通过正常手段其它线程不会触及这些空间的数据...
Linux多进程(五) 进程池 C++实现
最新发布
Lyajpunov的博客
04-26 498
进程池是一种并发编程模式,用于管理和重用多个处理任务的进程。它通常用于需要频繁创建和销毁进程的情况,以避免因此产生的开销。减少进程创建销毁的开销:避免频繁创建和销毁进程所带来的系统资源开销。提高系统响应速度:由于进程已经初始化并且一直保持在内存中,可以立即分配执行任务,减少了任务等待时间。控制资源使用:通过限制进程池中的进程数量,可以控制系统资源的使用情况,避免资源过度消耗。
Linux报错处理:‘abrt-cli status’ timed out
Rita_rr的博客
04-23 468
abrt-cli是ABRT(Automated Bug Reporting Tool)的命令行接口,用于在Linux系统中处理和报告程序崩溃。 如果abrt-cli status命令超时,这可能是由于多种原因,包括但不限于系统资源不足、ABRT服务未正常运行、网络问题或配置错误。
linux18:进程等待
m0_73919066的博客
04-20 1081
1:子进程创建的目的是要完成父进程指派的某个任务,当子进程运行完毕退出时,父进程需要通过进程等待的方式,回收子进程资源,获取子进程退出信息(子进程有无异常?没有异常结果是否正确?检查退出码查看错误原因)2:父进程如果一直不回收,就可能造成子进程‘僵尸进程’的问题,子进程一直得不到父进程的回收,进而造成内存泄漏。3:子进程一旦变成僵尸状态,那就刀枪不入,“杀人不眨眼”的kill -9 也无能为力杀死一个已经死去的进程。只能通过进程等待将他进行回收。
arm架构Linux5.0内核连接脚本文件vmlinux.lds.S分析
jianjian的博客
04-23 917
vmlinux.lds.S 是 Linux 内核中用于链接的脚本文件,用于定义内核对象文件的内存布局,即它告诉链接器如何将不同的内核代码段和数据段组合成一个最终的内核映像 vmlinux。编译内核源码生成内核文件的过程分两步,一个是“编译”,另一个是“链接”的过程,vmlinux.lds.S要做的就是告诉编译器如何链接编译好的各个内核.o文件,从而生成vmlinux文件。
openssl自签证书 csdn
11-30
openssl是一个开放源代码的密码学工具库,它提供了很多密码学函数和工具,其中包括证书的生成和管理。自签证书是指由个人或组织自行创建和签发的数字证书,不需经过权威认证机构的验证。 要在CSND上使用openssl来生成自签证书,首先需要安装openssl工具。然后,可以通过以下步骤来生成自签证书: 1. 生成私钥:首先利用openssl生成一个私钥文件,可以使用如下命令: ```bash openssl genrsa -out key.pem 2048 ``` 2. 生成证书请求(CSR):利用私钥生成一个证书请求文件(CSR),可以使用如下命令: ```bash openssl req -new -key key.pem -out request.csr ``` 3. 生成自签证书使用生成的私钥和CSR文件,利用openssl生成自签证书,可以使用如下命令: ```bash openssl x509 -req -in request.csr -signkey key.pem -out certificate.pem ``` 生成的certificate.pem即为自签证书文件,可以用来在CSND上进行SSL/TLS通信的配置。需要注意的是,由于自签证书没有经过权威认证机构的签发,因此在使用时会出现证书不受信任的提示,需要在客户端进行相关设置才能正常使用。 总而言之,利用openssl生成自签证书可以为个人或组织提供一种简单的数字证书方案,但需要在使用时注意其受信任性和安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值