使用go添加认证证书

最新推荐文章于 2023-11-29 22:39:16 发布
最新推荐文章于 2023-11-29 22:39:16 发布
阅读量202 收藏
点赞数
文章标签: golang kubernetes java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51445191/article/details/131024162
版权

上篇我们手动添加证书很麻烦,这次我们自动生成证书,并用client-go创建mutatingwebhookconfigurations,validatingwebhookconfigurations

package main

import (
	"bytes"
	"context"
	cryptorand "crypto/rand"
	"crypto/rsa"
	"crypto/x509"
	"crypto/x509/pkix"
	"encoding/pem"
	"fmt"
	"log"
	"math/big"
	"os"
	"time"

	admissionregistrationv1 "k8s.io/api/admissionregistration/v1"
	"k8s.io/apimachinery/pkg/api/errors"
	metav1 "k8s.io/apimachinery/pkg/apis/meta/v1"
	"k8s.io/client-go/kubernetes"
	"k8s.io/client-go/rest"
)

func main() {
	var caPEM, serverCertPEM, serverPrivKeyPEM *bytes.Buffer

	ca := &x509.Certificate{
		SerialNumber: big.NewInt(2023),
		Subject: pkix.Name{
			Country:            []string{"CN"},
			Province:           []string{"Beijing"},
			Locality:           []string{"Beijing"},
			Organization:       []string{"sasa.io"},
			OrganizationalUnit: []string{"sasa.io"},
		},
		NotBefore:             time.Now(),
		NotAfter:              time.Now().AddDate(10, 0, 0),
		IsCA:                  true,
		ExtKeyUsage:           []x509.ExtKeyUsage{x509.ExtKeyUsageClientAuth, x509.ExtKeyUsageServerAuth},
		KeyUsage:              x509.KeyUsageDigitalSignature | x509.KeyUsageCertSign,
		BasicConstraintsValid: true,
	}

	caPrivkey, err := rsa.GenerateKey(cryptorand.Reader, 4096)
	if err != nil {
		fmt.Println(err)
	}

	caBytes, err := x509.CreateCertificate(cryptorand.Reader, ca, ca, &caPrivkey.PublicKey, caPrivkey)
	if err != nil {
		fmt.Println(err)
	}

	caPEM = new(bytes.Buffer)
	_ = pem.Encode(caPEM, &pem.Block{
		Type:  "CERTIFICATE",
		Bytes: caBytes,
	})

	dnsNames := []string{
		"admission-registry",
		"admission-registry.default", "admission-registry.default.svc"}
	commonName := "admission-registry.default.svc"

	cert := &x509.Certificate{
		DNSNames:     dnsNames,
		SerialNumber: big.NewInt(1658),
		Subject: pkix.Name{
			CommonName:   commonName,
			Organization: []string{"sasa.io"},
		},
		NotBefore:    time.Now(),
		NotAfter:     time.Now().AddDate(1, 0, 0),
		SubjectKeyId: []byte{1, 2, 3, 4, 6},
		ExtKeyUsage:  []x509.ExtKeyUsage{x509.ExtKeyUsageClientAuth, x509.ExtKeyUsageServerAuth},
		KeyUsage:     x509.KeyUsageDigitalSignature,
	}

	serverPrivkey, err := rsa.GenerateKey(cryptorand.Reader, 4096)
	if err != nil {
		fmt.Println(err)
	}

	serverCertBytes, err := x509.CreateCertificate(cryptorand.Reader, cert, ca, &serverPrivkey.PublicKey, caPrivkey)
	if err != nil {
		fmt.Println(err)
	}

	serverCertPEM = new(bytes.Buffer)
	_ = pem.Encode(serverCertPEM, &pem.Block{
		Type:  "CERTIFICATE",
		Bytes: serverCertBytes,
	})

	serverPrivKeyPEM = new(bytes.Buffer)
	_ = pem.Encode(serverPrivKeyPEM, &pem.Block{
		Type:  "RSA PRIVATE KEY",
		Bytes: x509.MarshalPKCS1PrivateKey(serverPrivkey),
	})

	err = os.MkdirAll("/etc/webhook/certs/", 0666)
	if err != nil {
		log.Panic(err)
	}

	err = WriteFile("/etc/webhook/certs/tls.cert", serverCertPEM)
	if err != nil {
		log.Panic(err)
	}

	err = WriteFile("/etc/webhook/certs/tls.key", serverPrivKeyPEM)
	if err != nil {
		log.Panic(err)
	}

	log.Println("webhook server tls generated successfully")

	if err = CreateAdmissionConfig(caPEM); err != nil {
		fmt.Println(err)
	}
	log.Println("webhook configuration generated successfully")
}

func WriteFile(filepath string, sCert *bytes.Buffer) error {
	f, err := os.Create(filepath)
	if err != nil {
		return err
	}

	defer f.Close()

	_, err = f.Write(sCert.Bytes())
	if err != nil {
		return err
	}
	return nil
}

func initKubeClient() (*kubernetes.Clientset, error) {
	var (
		err    error
		config *rest.Config
	)
	if config, err = rest.InClusterConfig(); err != nil {
		return nil, err
	}

	clientset, err := kubernetes.NewForConfig(config)
	if err != nil {
		return nil, err
	}
	return clientset, nil
}

func CreateAdmissionConfig(caCert *bytes.Buffer) error {
	var (
		webhookNamespace, _ = os.LookupEnv("WEBHOOK_NAMESPACE")
		mutationCfgName, _  = os.LookupEnv("MUTATE_CONFIG")
		validateCfgName, _  = os.LookupEnv("VALIDATE_CONFIG")
		webhookService, _   = os.LookupEnv("WEBHOOK_SERVICE")
		validatePath, _     = os.LookupEnv("VALIDATE_PATH")
		mutationPath, _     = os.LookupEnv("MUTATE_PATH")
	)

	clientset, err := initKubeClient()
	if err != nil {
		return err
	}

	ctx := context.Background()

	if validateCfgName != "" {
		validateConfig := &admissionregistrationv1.ValidatingWebhookConfiguration{
			ObjectMeta: metav1.ObjectMeta{
				Name: validateCfgName,
			},
			Webhooks: []admissionregistrationv1.ValidatingWebhook{
				{
					Name: "io.ydzs.admission-registry",
					ClientConfig: admissionregistrationv1.WebhookClientConfig{
						CABundle: caCert.Bytes(),
						Service: &admissionregistrationv1.ServiceReference{
							Name:      webhookService,
							Namespace: webhookNamespace,
							Path:      &validatePath,
						},
					},
					Rules: []admissionregistrationv1.RuleWithOperations{
						{
							Operations: []admissionregistrationv1.OperationType{admissionregistrationv1.Create},
							Rule: admissionregistrationv1.Rule{
								APIGroups:   []string{""},
								APIVersions: []string{"v1"},
								Resources:   []string{"pods"},
							},
						},
					},
					FailurePolicy: func() *admissionregistrationv1.FailurePolicyType {
						pt := admissionregistrationv1.Fail
						return &pt
					}(),
					AdmissionReviewVersions: []string{"v1"},
					SideEffects: func() *admissionregistrationv1.SideEffectClass {
						se := admissionregistrationv1.SideEffectClassNone
						return &se
					}(),
				},
			},
		}
		validateAdmissionClient := clientset.AdmissionregistrationV1().ValidatingWebhookConfigurations()

		_, err := validateAdmissionClient.Get(ctx, validateCfgName, metav1.GetOptions{})
		if err != nil {
			if errors.IsNotFound(err) {
				if _, err = validateAdmissionClient.Create(ctx, validateConfig, metav1.CreateOptions{}); err != nil {
					return err
				}
			} else {
				return err
			}
		} else {
			if _, err = validateAdmissionClient.Update(ctx, validateConfig, metav1.UpdateOptions{}); err != nil {
				return err
			}
		}
	}

	if mutationCfgName != "" {
		mutateConfig := &admissionregistrationv1.MutatingWebhookConfiguration{
			ObjectMeta: metav1.ObjectMeta{
				Name: mutationCfgName,
			},
			Webhooks: []admissionregistrationv1.MutatingWebhook{{
				Name: "io.ydzs.admission-registry-mutate",
				ClientConfig: admissionregistrationv1.WebhookClientConfig{
					CABundle: caCert.Bytes(), // CA bundle created earlier
					Service: &admissionregistrationv1.ServiceReference{
						Name:      webhookService,
						Namespace: webhookNamespace,
						Path:      &mutationPath,
					},
				},
				Rules: []admissionregistrationv1.RuleWithOperations{{Operations: []admissionregistrationv1.OperationType{
					admissionregistrationv1.Create},
					Rule: admissionregistrationv1.Rule{
						APIGroups:   []string{"apps", ""},
						APIVersions: []string{"v1"},
						Resources:   []string{"deployments", "services"},
					},
				}},
				FailurePolicy: func() *admissionregistrationv1.FailurePolicyType {
					pt := admissionregistrationv1.Fail
					return &pt
				}(),
				AdmissionReviewVersions: []string{"v1"},
				SideEffects: func() *admissionregistrationv1.SideEffectClass {
					se := admissionregistrationv1.SideEffectClassNone
					return &se
				}(),
			}},
		}

		mutateAdmissionClient := clientset.AdmissionregistrationV1().MutatingWebhookConfigurations()
		_, err := mutateAdmissionClient.Get(ctx, mutationCfgName, metav1.GetOptions{})
		if err != nil {
			if errors.IsNotFound(err) {
				if _, err = mutateAdmissionClient.Create(ctx, mutateConfig, metav1.CreateOptions{}); err != nil {
					return err
				}
			} else {
				return err
			}
		} else {
			if _, err = mutateAdmissionClient.Update(ctx, mutateConfig, metav1.UpdateOptions{}); err != nil {
				return err
			}
		}

	}
	return nil
}

dockerfile

# Build the webhook binary
FROM golang:1.19 as builder

RUN apt-get -y update && apt-get -y install upx

WORKDIR /workspace
# Copy the Go Modules manifests
COPY go.mod go.mod
COPY go.sum go.sum

# Copy the go source
COPY main.go main.go

# Build
ENV CGO_ENABLED=0
ENV GOOS=linux
ENV GOARCH=amd64
ENV GO111MODULE=on
ENV GOPROXY="https://goproxy.cn"

# cache deps before building and copying source so that we don't need to re-download as much
# and so that source changes don't invalidate our downloaded layer
RUN go mod download && \
    go build -a -o admission-registry main.go && \
    upx admission-registry

FROM alpine:3.9.2
COPY --from=builder /workspace/admission-registry .
ENTRYPOINT ["/admission-registry"]

基于rbac的initcontainer创建证书,跟主容器共享一个目录,使用deployment部署

apiVersion: v1
kind: ServiceAccount
metadata:
  name: admission-registry-sa
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: admission-registry-role
rules:
- verbs: ["*"]
  resources: ["validatingwebhookconfigurations", "mutatingwebhookconfigurations"]
  apiGroups: ["admissionregistration.k8s.io"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: admission-registry-rolebinding
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: admission-registry-role
subjects:
- kind: ServiceAccount
  name: admission-registry-sa
  namespace: default

---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: admission-registry
  labels:
    app: admission-registry
spec:
  selector:
    matchLabels:
      app: admission-registry
  template:
    metadata:
      labels:
        app: admission-registry
    spec:
      serviceAccountName: admission-registry-sa
      initContainers:
      - image: webhook-tls-all-in-one:v1.0
        imagePullPolicy: IfNotPresent
        name: webhook-init
        env:
        - name: WEBHOOK_NAMESPACE
          value: default
        - name: MUTATE_CONFIG
          value: admission-registry-mutate
        - name: VALIDATE_CONFIG
          value: admission-registry
        - name: WEBHOOK_SERVICE
          value: admission-registry
        - name: VALIDATE_PATH
          value: /validate
        - name: MUTATE_PATH
          value: /mutate
        volumeMounts:
          - mountPath: /etc/webhook/certs
            name: webhook-certs
      containers:
      - name: webhook
        image: webhook-validate-mutate:v1.0
        imagePullPolicy: IfNotPresent
        env:
        - name: WHITELIST_REGISTRIES
          value: "docker.io,gcr.io"
        ports:
        - containerPort: 443
        volumeMounts:
        - name: webhook-certs
          mountPath: /etc/webhook/certs
          readOnly: true
      volumes:
        - name: webhook-certs
          emptyDir: {}
---
apiVersion: v1
kind: Service
metadata:
  name: admission-registry
  labels:
    app: admission-registry
spec:
  ports: 
    - port: 443
      targetPort: 443
  selector: 
    app: admission-registry
hanfengsasa1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
go get 安装依赖踩坑
qq_42693848的博客
03-26 953
在go get或go mod download时,可能会依赖一些其他地方的库或是自己的git库,此时需要更改证书和配置git。 一. 证书安装 有些服务器需要配置证书,不同的系统有不同的添加证书方法 Mac OS X 1. add: sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keycha...
Golang项目访问外部接口添加客户端TLS/SSL证书
nil
04-29 4667
Golang项目访问外部接口添加客户端TLS/SSL证书
使用GoGetSSL证书保护您的网站
muyugifkag的博客
08-30 406
如今,互联网用户希望每次访问网站时都能在其地址栏中找到挂锁符号。 它向他们保证,该网站不仅值得信赖,而且还能够提供安全的私人浏览体验。 但是,仅对于使用HTTPS并具有有效SSL证书的网站显示挂锁符号。 最近,大多数浏览器和主要搜索引擎已开始对未采用HTTPS的网站进行惩罚。 因此,如果您是网站所有者,那么必须自己获取SSL证书。 感谢GoGetSSL,这样做比您想象的要便宜和快捷。 GoGetSSL是一个平台,您可以在该平台上以极低的价格从多个不同的证书颁发机构购买各种SSL证书。 在本文中,我将帮助
Golang发送HTTP、HTTPS请求(包含Token和证书的请求)
热门推荐
Liing0的博客
12-17 1万+
Golang发送HTTP、HTTPS请求前景提要正文1. 最简单的 HTTP 请求 —— Get 方法使用场景代码解释说明2. 难度升级——加入证书的 HTTPS 请求使用场景代码解释说明3. 在 Header 中添加 token 的 HTTPS 请求使用场景代码解释说明 前景提要 本文源自于博主在编写获取 Kubernetes 集群组件的 /metrics 接口下的内容的程序时踩过的坑,所以 Demo 将结合 K8S 集群进行测试。当然也适用于发送一些常规的 HTTP 请求、带有证书的 HTTPS 请求
WebSocket实战之四WSS配置
程序员青菜学厨记
10-03 2555
对比,我们发现基于TLS的WSS,在网络传输过程中完全被加密了,而如果是未加密的WS协议,一些代理服务器可能理解不了类似101响应码会导致WebSocket握手失败,而使用WSS协议,数据是加密的,代理只能允许连接成功并且允许WebSocket数据流通过,不然会造成误伤。,碰到的问题只能上安全的WebSocket(WSS)才能解决,配置证书还是挺麻烦的,主要是每年都需要重新更新证书,我配置过的证书最长有效期也只有两年,搞不清楚为什么CA证书的有效期那么短,是为了多收钱吗?只需要把ws改成wss就可以。
Golang中WebSocket和WSS的支持
最新发布
hitpter的专栏
11-29 1345
本文介绍了Golang中WebSocket和WSS的支持。我们首先了解了WebSocket和WSS的基本概念和特点,然后演示了如何使用Golang构建WebSocket服务器和客户端,并使用自签名证书实现WSS的功能。通过实际的代码示例,我们展示了Golang中WebSocket和WSS的强大功能和简洁易用的特点。希望本文对你理解和使用Golang中WebSocket和WSS提供了一些帮助!
Go TLS服务端绑定证书的几种方式
TonyBai
10-14 232
随着互联网的发展,网站提供的服务类型和规模不断扩大,同时也对Web服务的安全性提出了更高的要求。TLS(Transport Layer Security)[1]已然成为Web服务最重要的安全基础设施之一。默认情况下,一个TLS服务器通常只绑定一个证书[2],但当服务复杂度增加时,单一证书已然难以满足需求。这时,服务端绑定多个TLS证书就成为一个非常实用的功能。Go语言中的net/http包和tls...
记一次Golang Windows GUI 程序 添加UAC权限+exe图标+程序信息
Mirage
10-29 1744
Golang Windows GUI程序,添加UAC、exe图标、程序信息
【k8s admission 学习】使用 go 语言创建自签证书及签发证书
叮当猫的喵i
10-07 1572
使用openssl创建证书时,遵循的步骤是 创建秘钥 > 创建CA > 生成要颁发证书的秘钥 > 使用CA签发证书。不管是根证书,中级证书还是终端域名证书,都需要先生成一个私钥,然后通过私钥来获取公钥再进行证书签名,OpenSSL 可以通过。这样我们就配置好了三级证书的签名请求了,这里都是分开写的,大部分代码都是一样的,可以写成一个方法,这里就不扩展了。如上,我们完成了证书的生成、存储和读取等能力,证书相关的处理就结束了。,用来区分这是一个根证书,过期时间设置为十年,根证书十年足够了,
Go依赖管理工具dep使用遇到malformed问题
u012889638的专栏
07-07 3090
今天开发搭建新环境。 golang使用版本为1.13设置了代理,顺便把 GO111MODULE=on开启了。 项目使用dep依赖管理,checkout完项目,运行时报告如下错误: can't load package: package XX: malformed module path "XX": missing dot in first path element 项目运行不起来,忧伤~~ 然后各种百度,没有自己想要的答案..... 我这里解决办法是:把go env环境中的GO111MODULE
golang解析数字证书
05-20
golang解析数字证书 PKCS#1 PKCS#8格式的私钥
Go-用于自动获取证书LetsEncryptSSL证书Golang
08-14
用于自动获取证书LetsEncrypt SSL证书Golang
基于GO语言实现X.509证书【100011829】
04-11
在密码学中,X.509是公钥证书的格式标准,在许多互联网协议中得到应用。X.509对公钥证书的格式,撤销证书列表(CRLs),证书验证路径...证书中的信息使用 ASN.1进行编码,ASN.1中数据以tag,长度,值的方式进行编码。
详解Go-JWT-RESTful身份认证教程
09-18
主要介绍了详解Go-JWT-RESTful身份认证教程,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
使用Go语言编写的基于ACME的证书颁发机构。-Golang开发
05-26
Boulder-ACME CA这是基于ACME的CA的实现。 ACME协议允许CA自动验证证书的申请人实际上控制了标识符,并允许域...目录概述设置Boulder开发与Certbot一起使用与另一个ACME客户生产贡献许可证概述Boulder分为以下几类:
码了2000多行代码就是为了讲清楚TLS握手流程
新世界杂货铺
11-28 469
来自公众号:新世界杂货铺 文章目录前言结论先行HTTPS单向认证HTTPS双向认证总结Client发送HelloMsgServer读HelloMsg&发送消息处理clientHelloMsg选择合适的证书以及签名算法计算握手阶段的密钥以及发送Server的参数发送Server证书以及签名发送finishedMsg并再次计算密钥Client读消息&发送消息读取serverHelloMsg并计算密钥处理Server发送的参数验证证书和签名处理finishedMsg并再次计算密钥Client发.
密码技术--证书及go语言生成自签证书
weixin_38299404的博客
05-28 1052
证书类似身份证,里面记录了某人的姓名、年龄、地址等个人信息,还包括这个人的公钥(身份证号码),并由认证机构(类似派出所)进行数字签名后发放,只要我们看到该证书就可以知道认证机构认定了该公钥(身份证号码)的确属于此人,解决了数字签名中无法确认是谁的公钥的问题,该证书也叫公钥证书,简称证书。 go语言生成自签证书文件(RSA) package main import ( "crypto/rand" "crypto/rsa" "crypto/x509" "crypto/x509/pkix" "enco
使用go在Neo4j中添加一个节点
05-12
要在Neo4j中添加一个节点,可以使用Neo4j的官方Go驱动程序。 首先,我们需要导入以下包: ```go import ( "github.com/neo4j/neo4j-go-driver/v4/neo4j" "log" ) ``` 然后,我们需要创建一个Neo4j驱动程序,用于连接到Neo4j数据库: ```go driver, err := neo4j.NewDriver("neo4j://localhost:7687", neo4j.BasicAuth("username", "password", "")) if err != nil { log.Fatal(err) } defer driver.Close() ``` 请注意,此代码假设您已经安装并运行了Neo4j数据库,并将其连接到了localhost:7687。 接下来,我们可以使用以下代码向Neo4j中添加一个节点: ```go session := driver.NewSession(neo4j.SessionConfig{}) defer session.Close() result, err := session.WriteTransaction(func(transaction neo4j.Transaction) (interface{}, error) { result, err := transaction.Run( "CREATE (n:Person {name: $name, age: $age}) RETURN n", map[string]interface{}{ "name": "John Doe", "age": 30, }) if err != nil { return nil, err } if result.Next() { return result.Record().GetByIndex(0), nil } return nil, result.Err() }) if err != nil { log.Fatal(err) } node := result.(neo4j.Node) fmt.Printf("Created node with ID %d and labels %v\n", node.Id(), node.Labels()) ``` 这将创建一个名为“John Doe”的Person节点,该节点具有一个名为“name”的属性和一个名为“age”的属性。 请注意,此代码使用WriteTransaction方法来启动一个写事务,并将节点添加到事务中。如果事务成功提交,将返回一个包含新节点的结果。 最后,我们可以使用node.Id()和node.Labels()方法获取新节点的ID和标签。 完整的示例代码如下: ```go package main import ( "fmt" "github.com/neo4j/neo4j-go-driver/v4/neo4j" "log" ) func main() { driver, err := neo4j.NewDriver("neo4j://localhost:7687", neo4j.BasicAuth("username", "password", "")) if err != nil { log.Fatal(err) } defer driver.Close() session := driver.NewSession(neo4j.SessionConfig{}) defer session.Close() result, err := session.WriteTransaction(func(transaction neo4j.Transaction) (interface{}, error) { result, err := transaction.Run( "CREATE (n:Person {name: $name, age: $age}) RETURN n", map[string]interface{}{ "name": "John Doe", "age": 30, }) if err != nil { return nil, err } if result.Next() { return result.Record().GetByIndex(0), nil } return nil, result.Err() }) if err != nil { log.Fatal(err) } node := result.(neo4j.Node) fmt.Printf("Created node with ID %d and labels %v\n", node.Id(), node.Labels()) } ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值