K3S 证书有效期和续签问题

已于 2024-04-19 11:48:46 修改
阅读量348 收藏 1
点赞数 7
分类专栏: 运维 文章标签: k8s
于 2024-04-18 17:25:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34134278/article/details/137928520
版权

本文使用k3s版本:k3s version v1.24.17+k3s1 (026bb0ec)
默认安装情况下,ca证书有效期是10年,普通证书有效期是1年。

普通证书

k3s官网描述:K3s 客户端和服务器证书自颁发日起 365 天内有效。每次启动 K3s 时,已过期或 90 天内过期的证书都会自动更新。
但是:90天内过期的证书可以通过重启k3s没问题,已过期不行,所以已过期的需要手动处理。

# 已过期的错误
Unable to connect to the server: tls: failed to verify certificate: x509: certificate has expired or is not yet valid: current time 2027-05-18T15:17:59+08:00 is after 2027-04-18T07:18:33Z

续签

# 停止 K3s
systemctl stop k3s

# 轮换证书
k3s certificate rotate

# 启动 K3s
systemctl start k3s

# 删除secret k3s-serving
kubectl --insecure-skip-tls-verify -n kube-system delete secrets k3s-serving

# 删除系统中的文件dynamic-cert.json
rm -f /var/lib/rancher/k3s/server/tls/dynamic-cert.json

# 重启 K3s
systemctl restart k3s

100年过期

vim /etc/systemd/system/k3s.service


[Service]
Type=notify
Environment="CATTLE_NEW_SIGNED_CERT_EXPIRATION_DAYS=36500" # 增加环境变量
EnvironmentFile=-/etc/default/%N
EnvironmentFile=-/etc/sysconfig/%N
EnvironmentFile=-/etc/systemd/system/k3s.service.env

CA证书

续签

实测官方文章续签方法只能在证书有效期内正常续签。

100年过期

首先使用脚本生成ca证书(改成相对应的时间),放置在指定位置(/var/lib/rancher/k3s/server/tls),然后在安装k3s。

相关调试命令

查看证书内容,可以看到证书时间

# server
for i in `ls /var/lib/rancher/k3s/server/tls/*.crt`; do echo $i; openssl x509 -enddate -noout -in $i; done
# agent
for i in `ls /var/lib/rancher/k3s/agent/*.crt`; do echo $i; openssl x509 -enddate -noout -in $i; done

修改宿主机时间

sudo date --set="2025-07-18 19:17:41"

参考资料

  • https://docs.k3s.io/zh/cli/certificate

另外关于k8s证书相关推荐文章

  • https://www.cnblogs.com/orchidzjl/p/17306985.html
  • https://www.zhaohuabing.com/post/2020-03-19-pki/
  • https://www.zhaohuabing.com/post/2020-05-19-k8s-certificate/
王不留行qwer
关注
  • 7
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
K8S 证书过期的解决方法
paul_ham的博客
10-12 1310
K8S 证书 过期
k3s实验室
02-06
通过这个实验室,你将对K3s和Kubernetes的基本概念、工作流程以及如何在Vagrant环境中搭建和管理Kubernetes集群有深入的理解。这是一个绝佳的学习平台,为以后的实际生产环境部署打下坚实的基础。记得在实验过程中...
k3s证书过期问题处理
MichaelZ的博客
03-17 466
k3s证书逻辑: k3s证书有效期默认是1年,如果证书已经过期或剩余的时间不足90天,则在重启k3s时就会自动轮转证书。但在之前的版本中,由于BUG(),会导致k3s重启无法自动轮转证书,此时则需要手动轮转证书
kubernetes 证书在线更新
不忘初心,方得始终
07-19 738
各个证书的过期时间 /etc/kubernetes/pki/apiserver.crt #1年有效期 /etc/kubernetes/pki/front-proxy-ca.crt #10年有效期 /etc/kubernetes/pki/ca.crt #10年有效期 /etc/kubernetes/pki/...
k3s证书过期的处理 以及 修改k3s证书有效期为10年(或自定义时间)
wangxi83的博客
04-24 4817
1、常规操作 由于k3s证书的默认过期时间是12个月,因此到期之前或不小心到期,需要轮换 其实官网有明确的说明以及处理办法——但是你会发现按照官方处理办法,基本上无法生效 这里给一个一定可行的办法 # 在其中一个节点上执行 k3s kubectl --insecure-skip-tls-verify=true delete secret k3s-serving -n kube-system # 在每个节点上执行 rm -rf /var/lib/rancher/k3s/server/tls/dynamic-
k3s证书过期傻瓜式解决方法 新版 100年过期
panyuwuyanzu的博客
02-22 545
【代码】k3s证书过期傻瓜式解决方法 新版 100年过期。
K3S证书过期解决方法
huangruifeng的博客
09-16 1433
以ubuntu为例 1、关闭时间同步 timedatectl set-ntp no 2、查看k3s过期时间 for i in `ls /var/lib/rancher/k3s/server/tls/*.crt`; do echo $i; openssl x509 -enddate -noout -in $i; done 3、设置时间到过期前一个月 date -s 20211105 4、删除 secret k3s-serving sudo kubectl --insecure-skip-tls-veri
k3s证书过期解决方法(终极解决-超级简单)
qq_41190902的博客
11-09 3002
官方文档说是到期前1个月重启会轮换,并且到期后不能再访问,因此要争取到到期前一个月,服务器要重启,网上有两种解决方案方案1 是手动设置到期时间,删掉相关CA文件,重启后,更新证书方案2 直接编写sh,重新生产自定义时间证书,替换。
rancher的k3s证书过期
运维玄德公
01-16 877
现象 rancher报错日志 分析 解决思路 解决
RancherCNDocsPDF_K3s.pdf
10-06
4. **安全性**:K3s默认安全配置,适合轻量级环境,包括证书自动化分发。 5. **内置功能**:提供本地存储、服务负载均衡器、Helm控制器和Traefik Ingress控制器等开箱即用的功能。 6. **最小化依赖**:仅需kernel和...
automation:使用Ansible和k3s进行TuringPi集群管理
03-13
入侵者自动化 修改时间:2021-03前言该存储库托管Incuvers服务器的所有自动化和管理服务。 该存储库托管了ansible自动化功能,用于为存储库构建和销毁连续的部署管道阶段。 将来,它还将扩展到包括虚拟孵化器服务器...
k3s 1.29 最新离线包
02-03
4. **自动化管理**:K3s自动化了证书管理和更新流程,减少了手动维护的工作量。 5. **可扩展性**:尽管轻量级,K3s仍能支持Kubernetes的所有核心功能,并且可以通过添加更多节点轻松扩展。 在【压缩包子文件的文件...
使用k3s轻松实现SSL证书
cumo3681的博客
07-14 1646
在上一篇文章中 ,我们在k3s集群上部署了几个简单的网站。 这些是未加密的站点。 现在很好,它们可以工作,但是上个世纪是未加密的! 如今,大多数网站都是加密的。 在本文中,我们将安装cert-manager并将其用于在群集上部署TLS加密的站点。 这些站点不仅会被加密,而且还会使用有效的公共证书,这些证书会自动从Let's Encrypt设置和更新! 让我们开始吧! 所需材料 要继续...
rancher2.5.9 提示证书过期问题
千湖
09-16 1832
rancher2.5.9 证书过期,ui界面更新无效解决办法
rancher证书过期怎么办
运维@小兵的博客
12-17 5245
查看证书日期 find / -name '*client-ca.crt' -type f cd /data/docker/volumes/d5c55bbfc477cc744ec4b7ba2361c26b3bc5c814ee9e79e7205207b02d278bdd/_data/k3s/server/tls/ for i in ls /var/lib/rancher/k3s/server/tls/*.crt; do echo $i; openssl x509 -enddate -noout -in $i
k3s 指引
sohunjug的专栏
10-23 930
k3s 指引 k3s简介 2019年2月26日,业界领先的容器管理软件提供商Rancher Labs(以下简称Rancher)宣布推出轻量级Kubernetes发行版k3s,这款产品专为在资源有限的环境中运行Kubernetes的研发和运维人员设计。 介绍与由来 什么是k3sk3s是一个完全符合标准的生产级Kubernetes发行版,同时也是史上最轻量的k8s发行版,它满足了在边缘计算环境中运...
rancher证书过期处理
weixin_39717172的博客
07-02 910
rancher证书过期 日志提示X509 报错,rancher证书过期导致 操作步骤 1、关闭ntp同步,不然时间会自动更新 timedatectl set-ntp false 2、 修改节点时间(修改到未过期时间) timedatectl set-time ‘2019-01-01 00:00:00’ 3、重启容器 3、进入容器备份/var/lib/rancher/k3s/server/tls目录 4、删除/var/lib/rancher/k3s/server/tls目录下所有证书 5、重启容器 ...
chromedriver-mac-arm64_126.0.6474.0.zip
最新发布
07-31
chromedriver-mac-arm64_126.0.6474.0.zip
k3s和jenkins
08-19
K3s和Jenkins是两个不同的工具或技术。 K3s是一个轻量级的Kubernetes发行版,它是Rancher Labs开发的,旨在为边缘计算、物联网设备和开发人员提供简化的Kubernetes部署选项。相比于传统的Kubernetes发行版,K3s更小巧、易于安装和管理,并且在资源消耗方面更加高效。它可以在资源受限的环境中运行,如树莓派等低功耗设备。 而Jenkins是一个用于持续集成和持续交付的开源工具。它提供了一个可扩展的插件生态系统,使开发团队能够自动化构建、测试和部署他们的应用程序。Jenkins可以与各种版本控制系统、构建工具和云平台集成,从而提供了灵活的CI/CD解决方案。 综上所述,K3s是一个轻量级的Kubernetes发行版,而Jenkins是一个用于持续集成和持续交付的工具。它们可以结合使用,通过K3s来管理和部署应用程序的Kubernetes集群,并使用Jenkins进行自动化构建和部署。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值