k8s环境生成自签名证书配置secret tls并配置到浏览器

已于 2022-08-24 09:23:56 修改
阅读量2.1k 收藏 2
点赞数 1
分类专栏: 运维问题 文章标签: kubernetes 运维 服务器
于 2022-08-23 18:18:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lucky_ykcul/article/details/126486945
版权

背景

最近公司的网站偶尔会出现“network error”的报错导致网页不稳定,打开开发者工具发现报错为“Failed to load resource: net ::ERR_CERT_AUTHORITY_INVALIED”原因为网页存在认证问题。解决措施有三种:1.申请域名购买证书;2.自己生成自签名证书;3.将https访问方式改为http。综合考虑成本和安全因素后决定使用自签名证书来解决此问题。

生成自签名证书

1.使用命令行交互方式生成证书

生成自签名证书需要用到openssl工具,先检查下服务器上有没有openssl,如果没有那就yum install openssl安装一下
生成自签名证书步骤
(1)生成一个私钥

openssl genrsa -des3 -out server.key 2048

(2)生成一个CSR

openssl req -new -key server.key -out server.csr

这里需要填写国家,城市,组织,域名等一些信息

Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:SH
Locality Name (eg, city) []:SH
Organization Name (eg, company) [Internet Widgits Pty Ltd]:XXX
Organizational Unit Name (eg, section) []:XXX
Common Name (e.g. server FQDN or YOUR name) []:XXX.com
Email Address []:XXXX

(3)生成自签名证书

openssl x509 -req -days 3650 -in server.csr -signkey server.key -out server.crt

这样我们就生成了一个简单的自签名证书

2.使用脚本方式生成自签名证书

命令行交互式方式需要一个个的手动输入国家,城市等信息很容易出错。使用脚本方式可以快速的生成自签名证书。

cat cert.sh

#!/bin/sh

filename="cert"

printf "[req]
prompt                  = no
default_bits            = 4096
default_md              = sha256
encrypt_key             = no
string_mask             = utf8only

distinguished_name      = cert_distinguished_name
req_extensions          = req_x509v3_extensions
x509_extensions         = req_x509v3_extensions

[ cert_distinguished_name ]
Country Name  = CN
State or Province Name = SH
Locality Name  = SH
Organization Name  = XXX
Organizational Unit Name = XXX
Common Name = XXX.com
Email Address = XXXX

[req_x509v3_extensions]
basicConstraints        = critical,CA:true
subjectKeyIdentifier    = hash
keyUsage                = critical,digitalSignature,keyCertSign,cRLSign #,keyEncipherment
extendedKeyUsage        = critical,serverAuth #, clientAuth
subjectAltName          = @alt_names

[alt_names]
DNS.1 = XXX.com


openssl req -x509 -newkey rsa:2048 -keyout /root/ssl/server.key -out /root/ssl/server.crt -days 3650

增加cert.sh执行权限

chmod +x cert.sh

执行cert.sh,生成自签名证书

sh cert.sh

用生成的自签名证书创建secret证书,用于域名访问

kubectl create --namespace=XXX secret tls tls-certificate-XXX.com --key /root/ssl/server.key --cert /root/ssl/server.crt

浏览器中添加证书

生成证书后我们需要将证书添加到浏览器中,否则访问网页依然会有该网站不安全的提示
在这里插入图片描述
浏览器添加证书方法如下
(1)打开浏览器设置搜索安全
在这里插入图片描述
点进去选择管理证书
在这里插入图片描述
(2)导入证书
点击管理证书,选择“受信任的根证书颁发机构”,点击导入
在这里插入图片描述
将本地的证书导入进来
在这里插入图片描述
选择将证书存储在“受信任的根证书颁发机构”
在这里插入图片描述
点击下一步,最后会提示导入成功
在这里插入图片描述

此时再次访问网页就没有https不安全的提示了

在这里插入图片描述

lucky123dog
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
self-signed-ssl:使用OpenSSL生成签名TLS证书
03-21
签名TLS 该脚本可简化使用OpenSSL创建证书颁发机构和自签名TLS证书的过程。 用法 self-signed-tls [OPTIONS] self-signed-tls --trust -c US -s California -l 'Los Angeles' -o 'Example Org' -u 'Example Unit' self-signed-tls --ca-key=/path/to/CA.key --ca-cert=/path/to/CA.pem --ca-only 选项 一般的 选项 描述 -h --help 显示帮助并退出 -p VALUE --path=VALUE 输出生成键的路径 -d VALUE --duration=VALUE 证书有效的天数(默认为365 ) -b VALUE --bits=VALUE 密钥大小(以位为单位)(默认为2048 ) --n
k8s配置secret中的ssl证书
weixin_42715225的博客
06-16 5960
前言 网站安全需要https来处理,k8s配置中涉及到需要处理secrets 操作 申请ssl证书 请自行处理,这里不再赘述 获取审核通过的Nginx证书 注 由于我这里的k8s的ingress插件是nginx-controller-manager,是故证书类型为Nginx,可根据实际情况选择合适类型的证书 放置证书到指定目录下 目录树如下所示: tree -aC certs/ certs/ ├── www.xxx.com.key └── www.xxx.com.pem 0 directories
tls-gen:生成对开发有用的自签名x509TLSSSL证书
04-29
TLS / SSL证书生成tls-gen是基于OpenSSL的工具,可生成用于开发和QA环境的自签名证书。 该项目最初是从许多测试套件中提取的。 它能做什么 tls-gen生成一个自签名证书颁发机构(CA)证书以及两对或更多对密钥:客户端和服务器,所有这些均使用单个命令。 它支持多个配置文件,这些配置文件生成不同长度和“形状”的证书链。 私钥可以使用RSA以及生成。 先决条件 tls-gen要求 openssl PATH Python 3.5或更高版本(作为python3 (不支持旧版本) make 用法 证书颁发机构(CA)和证书可以形成链。 tls-gen提供了几个“配置文件”,它们可以生成不同种类的证书链: :具有签名的叶子证书/密钥对的根CA :具有多个共享中介证书和由中介签名的叶对的根CA :具有两个中间证书(一个用于服务器,一个用于客户端)和由中间人
gocert::locked:生成无痛的自签名TLSSSL证书
05-28
Gocert 如果每次使用openssl生成签名证书时都遇到openssl ,那么此工具非常适合您! 一个轻量级的库以及命令行界面,用于使用纯go生成签名的SSL / TLS证书。 安装 brew install moorara/brew/gocert 对于其他平台,您可以从下载二进制文件。 快速开始 mkdir certs cd certs gocert init gocert root gocert intermediate -name=sre gocert sign -ca=root -name=sre gocert server -name=webapp gocert client -name=myservice gocert sign -ca=sre -name=webapp,myservice gocert verify -ca=root -name=sre goce
Windows Server 2008 R2 下配置TLS1.2添加自签名证书的图文教程
09-30
主要介绍了Windows Server 2008 R2 下配置TLS1.2添加自签名证书的图文教程,非常不错,具有参考借鉴价值,需要的朋友参考下吧
kubectl 命令详解(二十八):create secret tls
youzhouliu的博客
05-07 3305
kubectl create secret tls命令详解。
Kubernetes K8S之存储Secret详解
踏歌行的专栏
09-28 7353
K8S之存储Secret概述与类型说明,并详解常用Secret示例
容器编排技术 -- Kubernetes kubectl create deployment 命令详解
YunWisdom
08-27 3391
容器编排技术 -- Kubernetes kubectl create deployment 命令详解 1kubectl create deployment 2语法 3示例 4Flags kubectl create deployment 创建具有指定名称的deployment。 语法 $ deployment NAME --image=image [--dry-r...
K8S配置资源管理 Secret和configMap
Katie_ff的博客
10-07 1132
本文主要是对K8S配置资源管理 Secret和configMap两者的介绍,Secret 主要是用来保存密码、token、密钥等敏感数据的 k8s 资源,这类数据虽然也可以存放在 Pod 或者镜像中,但是放在 secret 中是为了更方便的控制如何使用数据,并减少暴露的风险ConfigMap与Secret类似,区别在于configMap保存的是不需要加密配置的信息。并且对ConfigMap和Secret两者如何创建及应用场景、案例使用列举
kubectl创建secret
rockstics的博客
03-14 1215
指定secret对象的名称,是secret对象的数据,是secret对象的其他选项。这些是一些常见的secret类型和创建命令的示例。您可以根据您的需求和场景选择适当的secret类型,并使用kubectl create secret命令来创建secret对象。其中,是secret对象的名称,和是TLS证书和私钥的文件路径。其中,是secret对象的名称,、、和是Docker镜像仓库的认证信息。其中,是secret对象的名称,是数据的键名,是数据的值。
3-4 使用secret实现nginx的tls认证
分享云原生,容器,运维等干货知识
08-14 692
HTTPS,也称作HTTP over TLSTLS的前身是SSL。HTTPS比HTTP数据更加完整与安全。但需要到证书颁发机构(Certificate Authority,简称CA)申请证书,一般免费证书很少,需要交费。但公司内部访问https可自签发ca与认证。下面将演示基于secrets为nginx提供tls认证。...
K8s 安全抽象:Secret
梦想起飞的地方.........
05-19 627
​​​​​​ Secret 是对敏感信息的抽象,例如:密码、token、SSH key,其他对象可引用Secret。 Pod 使用 Secret 有两种场景: 作为 volume 中的文件被挂载到 Pod 中一个或多个容器中 拉取镜像时需要使用 secret 作为安全凭证 Secret 分类 Secret 可分为三类: docker-registry: 创建一个给 Docker Registry 使用的 secret,实际是保存了账户密码。 generic:从本地 file, direct
Kubernetes密钥管理Secret
zhangshenglu1的博客
05-21 720
Secret与ConfigMap类似,主要的区别是ConfigMap存储的是明文,而Secret存储的是密文。ConfigMap可以用配置文件管理,而Secret可用于密码、密钥、token等敏感数据的配置管理。
k8s使用volume将ConfigMap作为文件或目录直接挂载_【大强哥-k8s从入门到放弃06】Secret详解...
weixin_39972996的博客
11-22 371
1、secret介绍secret用来保存小片敏感数据的k8s资源,例如密码,token,或者秘钥。这类数据当然也可以存放在Pod或者镜像中,但是放在Secret中是为了更方便的控制如何使用数据,并减少暴露的风险。用户可以创建自己的secret,系统也会有自己的secret。Pod需要先引用才能使用某个secretPod有2种方式来使用secret: 作为volume的一个域被一个或多个容器挂载 ...
学习笔记三十:K8S配置管理中心Secret实现加密数据配置管理
weixin_43258559的博客
11-02 660
Configmap一般是用来存放明文数据的,如配置文件,对于一些敏感数据,如密码、私钥等数据时,要用secret类型。Secret解决了密码、token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。要使用 secret,pod 需要引用 secret。
K8S Secret 一文详解, 全面覆盖 Secret 使用场景 | 全家桶
最新发布
aifeier的博客
01-10 2720
Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。由于创建 Secret 可以独立于使用它们的 Pod, 因此在创建、查看和编辑 Pod 的工作流程中暴露 Secret(及其数据)的风险较小。 Kubernetes 和在集群中运行的应用程序也可以对 Secret 采取额外的预防措施, 例如避免将敏感数据写入非易失性存储。
k8ssecret里导入证书_k8ssecret
weixin_33268464的博客
12-31 1508
secret介绍1、configmap都是明文存数据的,所以我们不能用它来访问,所以我们使用secret,但它比configmap要麻烦一点,只有敏感数据采用secrt来存放,比如你的私钥和证书,这个时候私钥和证书要放在secret中,其它内容应该放在configmap中,另外还有,比如我们连接mysql是我们打算把密码写在配置文件中,这个时候我们要把密码写成secret,而不能定义成config...
k8s集群配置SSL证书
qq_41808193的博客
02-26 7291
方法一:对所有ingress进行配置 阿里云申请通配符域名 由于目前还没有交易的情景,并且暂时没有较多用户的敏感信息,目前申请的是域名型证书,保证通信是加密传输即可。参考阿里云文档:https://help.aliyun.com/document_detail/98574.html?spm=a2c4g.11186623.6.603.59a020674FUyXO(域名所有权验证选自动验证即可) 目前申请好的是*.seec.seecoder.cn,这种通配符域名只允许一级子域名,像a.b.seec.seec
K8S应用笔记 —— 签发自签名证书用于Ingress的https配置
热门推荐
gmHappy
08-18 3万+
在本地签发自命名证书,用于`K8S`集群的`Ingress`的https配置
k8s secret 证书
05-13
Kubernetes Secret 是一个用来存储敏感数据的 Kubernetes 对象,包括 API 密钥、密码、 OAuth 令牌和 TLS 证书等。要创建一个 TLS 证书Secret,可以执行以下步骤: 1. 创建一个包含证书和私钥的 PEM 文件。可以通过 OpenSSL 等工具生成这个文件。 2. 将 PEM 文件的内容放入 Kubernetes Secret 中。可以使用 `kubectl create secret tls` 命令创建 Secret,如下所示: ``` kubectl create secret tls <secret-name> --cert=<path-to-cert-file> --key=<path-to-key-file> ``` 也可以将 PEM 文件的内容以 base64 编码的形式放入 Secret 中,如下所示: ``` kubectl create secret tls <secret-name> --cert=<path-to-cert-file> --key=<path-to-key-file> --dry-run=client -o yaml | kubectl apply -f - ``` 其中 `--dry-run=client -o yaml` 选项会将 Secret 的 YAML 配置输出到标准输出,`| kubectl apply -f -` 会将 YAML 配置应用到 Kubernetes 集群中。 3. 在需要使用证书Kubernetes 对象(如 Ingress、Service 等)的 YAML 配置中,将 Secret 的名称和证书密钥的名称指定为 TLS 配置的一部分,如下所示: ``` apiVersion: extensions/v1beta1 kind: Ingress metadata: name: my-ingress annotations: nginx.ingress.kubernetes.io/ssl-cert: <secret-name> spec: tls: - hosts: - example.com secretName: <secret-name> ... ``` 在这个例子中,`nginx.ingress.kubernetes.io/ssl-cert` 注解指定了使用哪个 Secret,`tls.secretName` 指定了 Secret 的名称。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值