openssl创建自签CA、签发证书、添加k8s节点

已于 2022-04-21 00:21:02 修改
阅读量3.4k 收藏 4
点赞数
分类专栏: linux kubernetes 文章标签: linux kubernetes
于 2022-04-20 23:14:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nangonghen/article/details/124309872
版权

1 概述:

1.1 环境

版本信息如下:
a、操作系统:centos 7.6
b、openssl: openssl-1.0.2


2 创建自签CA:

以下将生成一个名称为ca.key的key文件和一个名称为ca.crt的证书文件,CA的common name叫EXAMPLE Cert Authority。

openssl req -x509 -sha256 -newkey rsa:4096 -keyout ca.key -out ca.crt -days 3560 -nodes -subj '/CN=EXAMPLE Cert Authority'

3 签发自定义证书:

3.1 生成key文件和csr文件

key文件名称为server.key,csr文件名称为server.csr,common name为www.example.com。

openssl req -new -newkey rsa:4096 -keyout server.key -out server.csr -nodes -subj '/CN=www.example.com'

3.2 编写csr扩展文件extfile

SAN就在subjectAltName字段中指定,可以写多个域名和IP,例如域名为dinner,IP为192.168.35.72。

cat > extfile.cnf << EOF
[ v3_req ]
# Extensions to add to a certificate request
extendedKeyUsage = serverAuth,clientAuth
subjectAltName = DNS:dinner,DNS:localhost,IP:192.168.35.72,IP:127.0.0.1
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
EOF

3.3 生成证书文件

依据key文件、csr文件和csr扩展文件,生成证书文件(名称为server.crt)

openssl x509 -req -sha256 -days 3650 \
-extfile extfile.cnf \
-extensions v3_req \
-in server.csr -CA ca.crt -CAkey ca.key -out server.crt -CAcreateserial

3.4 检验证书文件是否由指定CA签署

openssl verify -CAfile ca.crt -verbose server.crt

3.5 查看证书文件详细

openssl x509 -in server.crt -noout -text

4 openssl案例应用

为k8s集群新增一个node节点,node节点名称为test,通过openssl命令生成kubelet的证书和key文件。

4.1 制作生成kubelet证书和key文件的脚本(kubelet-cert.sh)

假设k8s集群控制面板组件的CA证书和key分别是:/etc/kubernetes/pki/ca.crt和/etc/kubernetes/pki/ca.key。

#/bin/bash
nodeName=$1
subj="/CN=system:node:$nodeName/O=system:nodes"
openssl req -new -newkey rsa:4096 -keyout kubelet.key -out kubelet.csr -nodes -subj "$subj"
openssl x509 -req -in kubelet.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -out kubelet.crt  -CAcreateserial

4.2 生成kubelet证书和key文件

在master节点上,使用脚本生成kubelet的key文件(kubelet.key)和证书文件(kubelet.crt),并通过scp指令将它们复制到node节点的/var/lib/kubelet/pki/目录中。
在这里插入图片描述

4.3 创建kubelet的kubeconfig文件

node节点已经具备证书文件 /var/lib/kubelet/pki/kubelet.crt 和key文件 /var/lib/kubelet/pki/kubelet.key,
现在创建kubeconfig文件 /etc/kubernetes/kubelet.conf,内容如下:

apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: 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
    server: https://192.168.0.70:6443
  name: kubernetes
contexts:
- context:
    cluster: kubernetes
    user: system:node:test
  name: system:node:test@kubernetes
current-context: system:node:test@kubernetes
kind: Config
preferences: {}
users:
- name: system:node:test
  user:
    client-certificate: /var/lib/kubelet/pki/kubelet.crt
    client-key: /var/lib/kubelet/pki/kubelet.key

4.4 创建kubelet自身的配置文件

在node节点,创建配置文件/var/lib/kubelet/config.yaml,内容如下:

address: 0.0.0.0
apiVersion: kubelet.config.k8s.io/v1beta1
cgroupDriver: cgroupfs
cgroupsPerQOS: true
clusterDNS:
- 10.96.0.10
configMapAndSecretChangeDetectionStrategy: Watch
containerLogMaxFiles: 5
containerLogMaxSize: 100Mi
contentType: application/vnd.kubernetes.protobuf
cpuCFSQuota: true
cpuCFSQuotaPeriod: 100ms
cpuManagerPolicy: none
cpuManagerReconcilePeriod: 10s
enableControllerAttachDetach: true
enableDebuggingHandlers: true
enforceNodeAllocatable:
- pods
eventBurst: 10
eventRecordQPS: 5
evictionHard:
  imagefs.available: 5%
  memory.available: 500Mi
  nodefs.available: 5%
  nodefs.inodesFree: 5%
evictionPressureTransitionPeriod: 5m0s
failSwapOn: true
fileCheckFrequency: 20s
hairpinMode: promiscuous-bridge
healthzBindAddress: 127.0.0.1
healthzPort: 10248
httpCheckFrequency: 20s
imageGCHighThresholdPercent: 85
imageGCLowThresholdPercent: 80
imageMinimumGCAge: 2m0s
iptablesDropBit: 15
iptablesMasqueradeBit: 14
kind: KubeletConfiguration
kubeAPIBurst: 10
kubeAPIQPS: 5
makeIPTablesUtilChains: true
maxOpenFiles: 1000000
maxPods: 110
nodeLeaseDurationSeconds: 40
nodeStatusReportFrequency: 1m0s
nodeStatusUpdateFrequency: 10s
port: 10250
registryBurst: 10
registryPullQPS: 5
rotateCertificates: true
runtimeRequestTimeout: 2m0s
serializeImagePulls: true
staticPodPath: /etc/kubernetes/manifests

4.5 启动kubelet程序

不需要启动参数bootstrap-kubeconfig,命令如下:

/usr/bin/kubelet \
--kubeconfig=/etc/kubernetes/kubelet.conf \
--config=/var/lib/kubelet/config.yaml \
--cgroup-driver=systemd \
--network-plugin=cni \
--pod-infra-container-image=registry.aliyuncs.com/k8sxio/pause:3.1

在这里插入图片描述
在这里插入图片描述

nangonghen
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OpenSSL 生成CA证书及终端用户证书,java架构师常见面试题
m0_64205676的博客
11-16 809
OpenSSL 1.0.2k FireFox 60.0 64位 Chrome 66.0.3359.181 (正式版本)(32位) Internet Explorer 11.2248.14393.0 Websocketd 0.3.0 Nginx 1.12.2 二、生成CA证书 1、准备ca配置文件,得到ca.conf $ vim ca.conf 内容如下: [ req ] default_bits = 4096 distinguished_name = req_d...
云原生k8sCA证书创建和使用
liji133122的博客
11-09 1038
云原生k8sCA证书创建和使用
nginx反向代理cas-server之2:生成证书,centOS下使用openssl生成CA证书(根证书、server证书、client证书)...
weixin_30603633的博客
04-29 230
前些天搭好了cas系统,这几天一致再搞nginx和cas的反向代理,一直不成功,但是走http还是测试通过的,最终确定是ssl认证证书这一块的问题,原本我在cas服务端里的tomcat已经配置了证书,并且能够使用了,但是现在我用nginx代理使用ssl与cas-server建立连接,就会失败(看了网上的大神(是不是真的大神先不管)说是nginx不支持与后台的加密连接的原因)。那么既然我ng...
Openssl 生成K8s证书和使用
最新发布
qq_36864672的博客
04-14 578
【代码】Openssl 生成K8s证书和使用。
opensslk8s生成SSL证书
识途老码
03-25 5942
opensslk8s生成SSL证书
OpenSSL自签名成CA服务与CA给服务器客户端生成证书
Yan_bb_5的博客
04-13 437
1.生成CA私钥,私钥中包含了公钥 openssl genrsa -out CA.key 2048 2.生成CA自签证书请求文件 openssl req -new -key CA.key -out CA.csr -subj "/C=CN/ST=SC/L=CD/O=westone/OU=ops/CN=*.westone.com/emailAddress=yan.hai@qq.com" 3.生成CA自签证书 openssl x509 -req -days 3650 -in CA.csr -sig...
【实战加详解】二进制部署k8s高可用集群教程系列二 - ssl 证书简介
JohnYang's CSDN Home
10-12 1000
实战加详解 - 完美解决二进制部署k8s高可用集群中ssl证书以及TLS Bootstrap机制的问题
openssl命令查看证书有效期_kubeadm初始化k8s集群延长证书过期时间
weixin_32558527的博客
02-02 3250
前言kubeadm初始化k8s集群,签发CA证书有效期默认是10年,签发的apiserver证书有效期默认是1年,到期之后请求apiserver会报错,使用openssl命令查询相关证书是否到期。以下延长证书过期的方法适合kubernetes1.14、1.15、1.16、1.17、1.18版本查看证书有效时间openssl x509 -in /etc/kubernetes/pki/ca.crt ...
自建k8s平台-高可用k8s集群
nsydgs的博客
07-29 777
二进制搭建k8s
k8s之安装证书kubectl和生成kubeconfig
混子小磊哥的博客
09-07 1427
环境:centos7.8 安装CFSSL: 直接使⽤⼆进制源码包安装: 我的下载地址https://pkg.cfssl.org 找到cfssl-certinfo_1.6.1_linux_amd64,cfssljson_1.6.1_linux_amd64,cfssl_1.6.1_linux_amd64下载下来并用scp拷贝到centos中 到三个文件的目录中,并给予权限: chmod +x cfssl-certinfo_1.6.1_linux_amd64 chmod +x cfssljson_1
【使用OpenSSL生成CA证书签发证书
weixin_42835221的博客
04-08 1788
使用OpenSSL生成CA证书签发证书 目录使用OpenSSL生成CA证书签发证书一、基础知识二、安装OpenSSL1.下载地址三、生成一份 CA证书1.创建私钥2.生成证书请求文件(CSR)3.自签证书四、生成一份 CA 证书的子证书(跟)总结 一、基础知识 OpenSSL 是一个安全套接字层密码库,囊括主要的密码算法、常用密钥、证书封装管理功能及实现ssl协议。OpenSSL整个软件包大概可以分成三个主要的功能部分:SSL协议库libssl、应用程序命令工具以及密码算法库libcryp
二进制部署K8s集群:(2) 设定自签证书
阿蔡的博客
10-14 826
设定自签证书,证书生成工具有很多,如openssl,这里使用cfssl证书生成工具。 cfssl是一个开源的证书管理工具,使用json文件生成证书,相比openssl更方便使用,找任意一台主机操作即可,这里在master节点操作。 一、安装CFSSL 由于CFSSL系列的工具都是独立的二进制文件,所以下载相应的二进制文件并赋予权限即可。 [root@master1 cert]# wget -c https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 [root@mast
kubernetes v1.11 二进制部署(二)之Openssl自签TLS证书
DevOps海洋的渔夫@专栏
09-02 296
原创内容,转载请注明出处 博主地址:https://aronligithub.github.io/ 闲言乱语 在前段日子编写了kubernetes部署全过程之后,好友告诉我,你写得太长啦。能不能拆分章节一下。但是由于各种工作上和学习自研上的计划以及任务太多了,这个篇章的修改以及新篇章的编写给延迟了下来,但是为了更加方便各位读者们阅读,我以下对内容做了四个篇章的拆分 kube...
【博客539】使用openssl手动为k8s集群签发证书
qq_43684922的博客
11-19 1656
1、生成ca私钥:生成一个 2048 位的 ca.key 文件2、基于ca私钥,生成根(root)证书:在 ca.key 文件的基础上,生成 ca.crt 文件。
k8s 新增节点及重置节点
weixin_41436885的博客
12-07 951
获取token及token证书获取control-plane证书在新的master节点执行命令方法一:获取master的join token kubeadm token create --print-join-command --ttl=0 (–ttl=0代表token永不过期,不加此参数默认24小时过期) 执行完成后,会自动生成以下命令在node节点操作:我是之前的一个主节点加入过集群再次加入会出现这个问题,注 错误样例根据关键信息 “error execution phase check-etcd” 可
k8s实践(8)--ssl安全认证配置
黄规速博客:学如逆水行舟,不进则退
06-16 3202
一.基于CA签名的双向数字证书认证方式 在一个安全的内网环境中, Kubernetes的各个组件与Master之间可以通过apiserver的非安全端口http://apiserver:8080进行访问。但如果apiserver需要对外提供服务,或者集群中的某些容器也需要访问apiserver以获取集群中的某些信息,则更安全的做法是启用HTTPS安全机制。Kubernetes提供了基于CA签名的...
k8s自签证书
qq_42502583的博客
03-29 2446
k8s自签证书 通过使用cert-manager来管理证书 cert-manager将确保证书有效并且是最新的,并在到期前尝试在配置的时间续订证书 part1.安装CustomResourceDefinitions和cert-manager本身: ╭─[18:04:19] yup@YP-7-15 ~ ╰─$ kubectl apply -f https://github.com/jetstack/cert-manager/releases/download/v1.2.0/cert-manager.yaml
SSL基础:23:生成Kubernetes集群证书(OpenSSL方式)
知行合一 止于至善
12-15 1902
使用OpenSSL提供的命令则可非常容易地生成kubernetes集群创建所需要的证书,参照官方给的示例方法,再结合前面的文章对于OpenSSL的使用介绍,会发现openssl使用起来还是非常方便和简单的。
k8s证书自签笔记
wujianqinjian
11-23 774
k8s 证书自签 获取组件 wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 创建一个名为TLS的文件夹,并将组件文件移动到该文件夹下,同时添加可习性权限 #创建TLS文件夹 mkdir -p ~/TLS #移动文件 mv
使用openssl+nginx配置自签发HTTPS证书实战
"基于openssl 自行签发https 协议证书并使用openssl+nginx实现https自签有效加密的实战过程" 在网络安全中,HTTPS协议扮演着至关重要的角色,它通过SSL/TLS协议为网络通信提供了加密处理,确保了数据传输的安全性。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值