4. 证书环境

最新推荐文章于 2022-10-28 11:37:45 发布
最新推荐文章于 2022-10-28 11:37:45 发布
阅读量214 收藏 1
点赞数
分类专栏: 从零开始安装kubernetes 文章标签: linux ca证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_19655405/article/details/117215345
版权

测试操作主机 172.10.10.200

证书环境

证书工具
  • openssl
  • cfssl(本节主角)

手把手-安装-cfssl

cfssl 工具
  • cfssl
    wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
    cp cfssl_linux-amd64 /usr/bin/cfssl
  • cfssljson
    wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
    cp cfssljson_linux-amd64 /usr/bin/cfssljson
  • cfssl-certinfo
    wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
    cp cfssl-certinfo_linux-amd64 /usr/bin/cfssl-certinfo

记得授执行权限哦 chmod +x /usr/bin/cfssl*

制作CA证书

CA证书的作用,用于后续k8s中的组件交互所需各种证书的签发
CA证书是根证书,权威证书,用于签发其他证书

1. 创建生成CA证书签名请求(csr)的JSON配置文件

技巧:cfssl print-defaults csr能够打印csr文件模板作参考
vim /opt/certs/ca-csr.json

{
        "CN": "HzwOrg",
        "hosts": [],
        "key": {
                "algo": "rsa",
                "size": 2048
        },
        "name": [
                {
                        "C": "CN",
                        "ST": "beijing",
                        "L": "beijing",
                        "O": "hzw",
                        "OU": "hzwself"
                }
        ],
        "ca": {
                "expiry": "175200h"
        }
}

说明:

  • hosts: 使用证书的主机列表 ??
  • CN: Common Name,浏览器使用该字段验证网站是否合法,一般写的是域名。
  • C:Contry,国家
  • ST:State,省、州
  • L:Locality,地区、城市
  • O:Organization Name,组织名称、公司名称
  • OU: Organization Unit Name,组织单位名称,公司名称
  • ca.expiry:证书过期时间(默认有效期是1年)生产上一定注意有效期,证书到期会导致集群瘫痪
2. 生成CA证书和私钥

cfssl gencert -initca ca-csr.json
该命令只会打印出证书和私钥,还需通过cfssl-json生成证书和私钥文件
cfssl gencert -initca ca-csr.json | cfssljson -bare ca
在这里插入图片描述ca.pem:ca证书; ca-key.pem:ca证书私钥

签发证书
准备ca-config.json

技巧:cfssl print-defaults config能够打印配置文件模板作参考
vi /etc/certs/ca-config.json

{
    "signing": {
        "default": {
            "expiry": "175200h"
        },
        "profiles": {
            "server": {
                "expiry": "175200h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "server auth"
                ]
            },
            "client": {
                "expiry": "175200h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "client auth"
                ]
            },
            "peer": {
                "expiry": "175200h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "server auth",
                    "client auth"
                ]
            }
        }
    }
}

设置了三种证书配置,下面创建证书是指定需要的配置模式
server: 服务器启动需要证书
client: 客户端连接服务端需要证书
peer: 对端通信两端都需要证书

创建peer类型证书(etcd需要的双向证书为例)
  • 创建证书请求文件
    这里我们用etcd集群需要的双向通信证书制作做演示,结构和上面制作ca证书时的请求文件类似
    技巧:cfssl print-defaults csr能够打印csr文件模板作参考
    vi etcd-peer-csr.json (文件名叫啥无所谓,自己能分清就行)
{
    "CN": "k8s-etcd",
    "hosts": [
        "172.10.10.11",
        "172.10.10.12",
        "172.10.10.21",
        "172.10.10.22"
    ],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "name": [
        {
            "C": "CN",
            "ST": "beijing",
            "L": "beijing",
            "O": "hzw",
            "OU": "hzwself"
        }
    ]
}

hosts中配置了证书通信可用主机,这里将可能部署etcd的机器都加入,否则后续主机变化只能重新签发证书

  • 使用cfssl签发证书
    cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=peer etch-peer-csr.json

说明:
gencert:生成证书命令
-ca-ca-key:指定根证书和根证书密钥
-config-profile:指定配置文件和指定配置域(这里需要签双向通信证书,所以指定的是ca-config.json里的peer配置域,内容见上文)
etch-peer-csr.json是证书请求文件

该命令不会生成证书文件,只会打印证书内容(自己手动拷贝到相应文件也是可以的),可以通过管道符使用cfssljson工具进一步生成证书文件
[...] | cfssljson -bare etcd-peer

  • cfssl-certinfo查看证书信息
    cfssl-certinfo -cert apiserver.pem
    在这里插入图片描述cfssl-certinfo -domain www.baidu.com 查看指定域名的证书信息
hzw@sirius
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
K8S_Google工作笔记0011---通过二进制方式_为APIServer生成自签证书
添柴程序猿的专栏
11-22 360
技术交流QQ群【JAVA,C++,Python,.NET,BigData,AI】:170933152 这里,对于集群的访问需要经过apiserver来进行,那么一般都是通过https进行访问的,那么访问的控制方式,可以有两种方式, 一种就是添加可信任的ip列表,也就是在这个列表中的ip地址都可以访问我们的集群, 比如192.168.1.0到192.168.1.100都可以访问这样 2.然后第二种方式就是,前来访问的请求,携带证书进行访问,这样也是可以的,但是某些场景下 有些时候没办法携带..
CFCA证书环境Java安装
05-18
CFCA证书环境的Java安装是确保Java应用能够识别并信任CFCA签发的数字证书的关键步骤。下面将详细介绍如何进行这一过程。 首先,你需要了解CFCA证书的基本概念。CFCA是一家权威的数字证书颁发机构,其SSL证书用于...
K8S各种各样的证书介绍
Vic的博客
10-28 3118
例如,所有etcd server证书需要是同一个CA签署的,所有的etcd peer证书也需要是同一个CA签署的,而一个etcd server证书和一个etcd peer证书,完全可以是两个CA机构签署的,彼此没有任何关系。其实实际上,使用一套证书(都使用一套CA来签署)一样可以搭建出K8S,一样可以上生产,但是理清这些证书的关系,在遇到因为证书错误,请求被拒绝的现象的时候,不至于无从下手,而且如果没有搞清证书之间的关系,在维护或者解决问题的时候,贸然更换了证书,弄不好会把整个系统搞瘫。
kubernetes 证书详解
Vic的博客
10-28 412
类型CACN认证描述官方Etcd对外提供服务kube-etcd节点相互通信的证书clientpod中Liveness探针客户端证书k8sca.crt,keysa.pub,key服务帐户密钥serverapiserver 证书clientkubelet证书clientapiserver访问etcd的证书client用于前端代理。
k8s学习笔记-证书详解
weixin_30321449的博客
06-18 1172
在进行二进制搭建K8S集群前,我们需要梳理最磨人的一个点,就是各种各样的证书。 官方文档参考:https://kubernetes.io/docs/setup/certificates/ 一共有多少证书: 先从Etcd算起: 1、Etcd对外提供服务,要有一套etcdserver证书 2、Etcd各节点之间进行通信,要有一套etcdpeer证书 3、Kube-APIserver访问...
k8s 证书ca-csr.json,ca-config.json
weixin_30375427的博客
05-22 3646
这是后面生成的所有证书的基础。 但如果是公司内使用,使用基于这些证书生成的ca, 在保证安全性的情况下,可以更方便的部署。 ca-csr.json { "CN": "kubernetes", "key": { "algo": "rsa", "size": 2048 }, "ca": { "expiry": "438000h" ...
.net frameworf4.6.2证书低分
12-14
在.NET Framework 4.6.2的环境中,如果遇到与证书相关的错误,可能是由于系统缺少必要的信任根证书,或者证书配置不正确。例如,在安装AppScan(一款流行的安全扫描工具)时,可能需要特定的根证书来验证软件的完整...
yfc.zip 证书测试APNS
08-10
1. 证书类型与当前环境匹配,开发环境使用开发证书,生产环境使用生产证书。 2. 应用程序在Xcode中已启用推送通知,并且在设备或模拟器上注册了正确的设备Token。 3. 服务器端代码正确配置了APNS连接,包括使用正确...
X.509数字证书
04-09
X.509是一种国际标准,定义了公钥证书的格式,用于在开放的网络环境中验证身份。这个标准由国际电信联盟电信标准部门(ITU-T)的X系列建议制定,编号为X.509。X.509证书是网络安全体系中的关键组成部分,广泛应用于...
证书错误修复.rar
04-25
4. **手动验证证书**:查看证书的详细信息,确认它是否由知名的CA签发,且与访问的网站匹配。如果有疑虑,可以直接联系网站管理员。 5. **清理浏览器缓存**:浏览器的缓存可能会存储旧的、错误的证书信息,清除缓存...
k8s 之证书签发
qq_38461475的博客
07-16 489
1.证书签发准备 准备签发证书环境 运维主机 HDSS7-200.host.com上: 安装CFSSL 证书签发工具CFSSL:R1.2 cfssl下载地址 cfssl-json下载地址 cfssl-certinfo下载地址 [root@hdss7-200 ~]# wgethttps://pkg.cfssl.org/R1.2/cfssl_linux-amd64-O /usr/bin/cfssl [root@hdss7-200 ~]# wgethttps://pkg.cfssl.org/R1.2/cfs...
kubernetes(K8S)创建自签TLS证书
aiduo4911的博客
09-09 1252
TLS证书用于进行通信使用,组件需要证书关系如下: 组件 需要使用的证书 etcd ca.pem server.pem server-key.pem flannel ca.pem server.pem server-key.pem kube-apiserver ca.pem server.pem server-key.pem kubelet ca.pem c...
2. Kubernetes部署
weixin_45012007的博客
06-29 267
部署etcd集群 IP 角色 192.168.199.12 etcd lead 192.168.199.13 etcd follow 192.168.199.14 etcd follow 为etcd签发证书 签发证书操作主要在运维主机 192.168.199.15 上进行 创建基于根证书的config配置文件 [root@192-168-199-15 ~]# cat /opt/certs/ca-config.json { "signing": { "def
kubernetes-证书过期,重建证书
kozazyh的专栏
12-06 4101
kubernetes 版本:1.9.x,安装方式,使用二进制文件,手工安装(参考:https://github.com/opsnull/follow-me-install-kubernetes-cluster/tree/v1.6.2); 由于当初安装kubernetes,制作证书的时候,设置了证书的有效期只有1年。到一年后,所有节点都变为noready状态。检查kubelet服务的日志,提示认证...
解决CAfile:/etc/ssl/certs/ca-certificates.crt
热门推荐
小老鼠的博客
11-18 1万+
问题描述 CAfile:/etc/ssl/certs/ca-certificates.crt CRLfile:none ubuntu 16.04 Git https   解决方案 1.export GIT_SSL_NO_VERIFY = 1 2.sudo update-ca-certificates 3.echo -n | openssl s_cli
二进制相关脚本文件
Bilson99的博客
08-13 248
目录①etcd-cert.sh②etcd.sh③flannel.sh④k8s-cert.sh⑤apiserver.sh⑥scheduler.sh⑦controller-manager.sh⑧kubeconfig.sh⑨kubelet.sh⑩proxy.sh ①etcd-cert.sh #!/bin/bash #配置证书生成策略,让 CA 软件知道颁发有什么功能的证书,生成用来签发其他组件证书的根证书 cat > ca-config.json <<EOF { "signing": {
kubenetes ca认证过程中cfssljson -bare的含义
夺宝奇兵的专栏
08-23 4604
阅读Kubernetes安装之证书验证 - Kubernetes中文社区 - CSDN博客 一文中,cfssljson工具有个参数-bare。Usage of cfssljson: -bare the response from CFSSL is not wrapped in the API standard response CFSSL的响应没有包装在API标准
搭建etcd 3.4.15集群(详细教程,包括选举过程、数据备份和恢复)
杂货铺子
05-08 1085
推荐阅读 Helm3(K8S 资源对象管理工具)视频教程:https://edu.csdn.net/course/detail/32506 Helm3(K8S 资源对象管理工具)博客专栏:https://blog.csdn.net/xzk9381/category_10895812.html 现在 Kubernetes 已经成为行业内的主流,那么作为存储了 Kubernetes 集群所有数据的 ETCD 集群也成为了重中之重。了解 ETCD 的原理以及维护方式就显得尤为重要。所以本文首先单独搭建一套 E.
基于openssl.conf生成根证书
最新发布
05-27
您可以使用openssl.cnf文件来自定义Ca证书的生成。下面是一个简单的例子: 1. 创建新的openssl.cnf文件 ``` cp /etc/ssl/openssl.cnf openssl.cnf ``` 2. 编辑openssl.cnf文件并添加以下部分: ``` [ca] default_ca = CA_default [CA_default] dir = /path/to/ca private_key = $dir/private/ca.key certificate = $dir/ca.crt new_certs_dir = $dir/newcerts database = $dir/index serial = $dir/serial crlnumber = $dir/crlnumber default_md = sha256 default_crl_days = 30 default_days = 365 policy = policy_anything [policy_anything] countryName = optional stateOrProvinceName = optional localityName = optional organizationName = optional organizationalUnitName = optional commonName = supplied emailAddress = optional ``` 在此示例中,您需要将`/path/to/ca`替换为您的自定义路径。此外,您需要创建所需的目录并添加一个空文件index和一个空文件serial。 3. 生成根私钥 ``` openssl genrsa -out /path/to/ca/private/ca.key 4096 ``` 这将生成一个4096位的RSA密钥,并将其保存在名为“ca.key”的文件中。 4. 生成自签名根证书 ``` openssl req -x509 -new -nodes -key /path/to/ca/private/ca.key -config openssl.cnf -sha256 -days 1024 -out /path/to/ca/ca.crt ``` 在此命令中,-config参数指定使用的openssl.cnf文件,-key参数指定使用的私钥文件,-sha256参数指定使用SHA-256哈希算法,-out参数指定生成的证书文件的名称。 现在,您已经生成了自定义的自签名根证书,其中包含公钥和私钥。请注意,这是一个自签名的根证书,在部署到生产环境之前,您需要获取由受信任的第三方机构颁发的证书
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hzw@sirius

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值