TOS warpdrive ca 及相关证书续签

已于 2023-09-10 10:41:51 修改
阅读量57 收藏
点赞数
文章标签: https java ssl
于 2023-04-14 21:32:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36864672/article/details/130162518
版权

目录

1. 背景

1.1 背景

1.2 影响版本

2. 续签 tranwarp-warpdrive-ca 证书

2.1 备份节点上原有证书目录

2.2 续签 transwarp-warpdrive-ca.pem

2.4 拷贝新的 ca 证书

3. 续签其他证书

3.1 依赖 transwarp-warpdrive-ca.pem 相关证书

3.1.1 transwarp-warpdrive 证书

4. 重启服务

4.1 重启 warpdrive 服务

4.2 重启 kubelet 服务

4.3 重启 controller-manager

1. 背景

transwarp-warpdrive 证书每个节点只需要填写自己节点的 hostname,所以集群有多少节点,transwarp-warpdrive 证书就需要生成多少次。

1.1 背景

tos 1.9.x 2.0.x 2.1.x(2.1.x 版本 2020/12 之后部署的在安装包里面已经更新,不需要再次更新)环境上 ca 系统证书都即将到期,etcd-ca.pem 及 transwarp-warpdrive-ca.pem 将于 2023 年到期,ca.pem 将于 2025 年到期,可以进入到 /srv/kubernetes/ (tdc环境)目录下,使用下面命令查看过期时间:

# openssl x509 -text -in ca.pem | grep "Not"

            Not Before: Dec 10 05:07:35 2015 GMT

            Not After : Dec  7 05:07:35 2025 GMT

# openssl x509 -text -in etcd-ca.pem | grep "Not"

            Not Before: Mar 11 10:30:00 2018 GMT

            Not After : Mar 10 10:30:00 2023 GMT

# openssl x509 -text -in transwarp-warpdrive-ca.pem | grep "Not"

            Not Before: Aug 14 09:05:00 2018 GMT

            Not After : Aug 13 09:05:00 2023 GMT

另外依赖于上述 ca 证书的其他证书也都在对应时间到期,针对这种情况,本文主要讲解 etcd-ca 及依赖证书的续期。其他ca证书的续签后续会更新,具体的操作步骤如下:

  1. 续签CA证书
  2. 续签CA证书签发的所有证书
  3. 更新secret token
  4. 保证CA续签完成后,业务重启正常运行

1.2 影响版本

TDC:

  • 1.9.x <= tos <= 2.0.x

TDH 没有使用 warpdrive 组件,不受影响

2. 续签 tranwarp-warpdrive-ca 证书

续签 ca 证书需要对应的 ca-key 文件,默认环境部署完成 etcd-ca.key 及 transwarp-warpdrive-ca-key.pem 会不存在,需要从安装包拷贝 gencerts 目录,没有安装包的可以从本文最后下载,上传到第一台 master 节点上,后续续签及生成证书的操作默认都在第一台 master 节点。

gencerts 目录见,直接解压即可(tar -zxvf gencerts.tar.gz):gencerts.tar.gz

arm64 环境 安装包见:ftp://tosftp.transwarp.io/pub/tools/arm64/gencerts-arm64.tar.gz

2.1 备份节点上原有证书目录

集群的所有节点都可以备份下证书目录

# cp -r /srv/kubernetes /srv/kubernetes-20221116

2.2 续签 transwarp-warpdrive-ca.pem

# cd market-web-installer/ansible-deploy/util/gencerts

# openssl x509 -in transwarp-warpdrive-ca.pem -days 36500 -out transwarp-warpdrive-ca-new.pem -signkey transwarp-warpdrive-ca-key.pem     ## 依赖于原 transwarp-warpdrive-ca.pem 和 transwarp-warpdrive-ca-key.pem 生成 transwarp-warpdrive-ca-new.pem

Getting Private key

# openssl x509 -text -in transwarp-warpdrive-ca-new.pem | grep "Not"      ## 查看新 transwarp-warpdrive-ca 证书过期时间

            Not Before: Nov 16 07:29:44 2022 GMT

            Not After : Oct 23 07:29:44 2122 GMT

# openssl verify -CAfile transwarp-warpdrive-ca-new.pem /srv/kubernetes/transwarp-warpdrive-crt.pem   ## 使用任一个依赖于 transwarp-warpdrive-ca.pem 生成的证书进行证书比对,这边使用的是 transwarp-warpdrive-crt.pem

/srv/kubernetes/transwarp-warpdrive-crt.pem: OK

到此 transwarp-warpdrive-ca.pem 证书续期完毕,此时依赖于 transwarp-warpdrive-ca.pem 的其他证书(transwarp-warpdrive-crt.pem)的有效期即为使用 openssl 命令查看的有效期。

2.4 拷贝新的 ca 证书

新生成的 transwarp-warpdrive-ca.pem 需要拷贝到集群所有节点的 /srv/kubernetes/ 目录下。

# cd market-web-installer/ansible-deploy/util/gencerts

# cp transwarp-warpdrive-ca-new.pem /srv/kubernetes/transwarp-warpdrive-ca.pem

# cd /srv/kubernetes     ## 拷贝 transwarp-warpdrive-ca.pem 到集群所有节点的 /srv/kubernetes/ 目录下

# scp transwarp-warpdrive-ca.pem tos156:/srv/kubernetes/

# scp transwarp-warpdrive-ca.pem tos157:/srv/kubernetes/

3. 续签其他证书

续签证书也依赖于 gencerts 目录,下面有相关的 config 文件及 cfssl 工具,安装包下有这个目录,没有安装包的可以从本文最后下载,上传到第一台 master 节点上,后续续签及生成证书的操作默认都在第一台 master 节点。

3.1 依赖 transwarp-warpdrive-ca.pem 相关证书

目前只有 transwarp-warpdrive 证书依赖于 transwarp-warpdrive-ca.pem,所以 transwarp-warpdrive-ca.pem 证书更新,我们只需重新生成 transwarp-warpdrive 相关证书就可以了。在生成 transwarp-warpdrive 证书之前,首先确认下 config.json 文件,expiry 为 876000h,表示过期时间为 100 年,不是 876000h 记得修改下。

3.1.1 transwarp-warpdrive 证书

transwarp-warpdrive 证书每个节点只需要填写自己节点的 hostname,所以集群有多少节点,transwarp-warpdrive 证书就需要生成多少次。

# cd market-web-installer/ansible-deploy/util/gencerts

# ./cfssl gencert -ca=/srv/kubernetes/transwarp-warpdrive-ca.pem -ca-key=transwarp-warpdrive-ca-key.pem -config=config.json -profile=warpdrive -hostname=127.0.0.1,0.0.0.0,tos155 transwarp-warpdrive-csr.json | ./cfssljson -bare transwarp-warpdrive  ## hostname 根据情况自行修改,生成 transwarp-warpdrive.pem transwarp-warpdrive-key.pem transwarp-warpdrive.csr

# mv transwarp-warpdrive.pem transwarp-warpdrive-crt.pem

# openssl x509 -text -in transwarp-warpdrive-crt.pem | grep Not

            Not Before: Feb  8 02:54:00 2023 GMT

            Not After : Feb  5 02:54:00 2133 GMT

  

# cp transwarp-warpdrive-crt.pem transwarp-warpdrive-key.pem /srv/kubernetes/    ## tos155节点是本机,拷贝新生成的证书覆盖掉原来旧的

# ./cfssl gencert -ca=/srv/kubernetes/transwarp-warpdrive-ca.pem -ca-key=transwarp-warpdrive-ca-key.pem -config=config.json -profile=warpdrive -hostname=127.0.0.1,0.0.0.0,tos156 transwarp-warpdrive-csr.json | ./cfssljson -bare transwarp-warpdrive  ## hostname 根据情况自行修改,生成 transwarp-warpdrive.pem transwarp-warpdrive-key.pem transwarp-warpdrive.csr

# mv transwarp-warpdrive.pem transwarp-warpdrive-crt.pem

# scp transwarp-warpdrive-crt.pem transwarp-warpdrive-key.pem tos156:/srv/kubernetes/   #在第一个节点生成相关证书,然后拷贝到其他节点

# ./cfssl gencert -ca=/srv/kubernetes/transwarp-warpdrive-ca.pem -ca-key=transwarp-warpdrive-ca-key.pem -config=config.json -profile=warpdrive -hostname=127.0.0.1,0.0.0.0,tos157 transwarp-warpdrive-csr.json | ./cfssljson -bare transwarp-warpdrive  ## hostname 根据情况自行修改,生成 transwarp-warpdrive.pem transwarp-warpdrive-key.pem transwarp-warpdrive.csr

# mv transwarp-warpdrive.pem transwarp-warpdrive-crt.pem

# scp transwarp-warpdrive-crt.pem transwarp-warpdrive-key.pem tos157:/srv/kubernetes/   #在第一个节点生成相关证书,然后拷贝到其他节点

4. 重启服务

4.1 重启 warpdrive 服务

所有节点都要操作

# systemctl restart warpdrive

4.2 重启 kubelet 服务

# systemctl restart kubelet

4.3 重启 controller-manager

3 台 master 节点依次操作

# docker ps | grep controller-manager

c0699744f40b        a216e801e5bd                                 "sh -c 'kube-control…"    27 hours ago        Up 27 hours                             k8s_controller-manager_k8s-controller-manager-tos155_kube-system_625d6c6e994d5db32e10e7d092b3fa22_0

58a25697bddf        google_containers/pause:3.0                  "/pause"                  27 hours ago        Up 27 hours                             k8s_POD_k8s-controller-manager-tos155_kube-system_625d6c6e994d5db32e10e7d092b3fa22_0

# cd /opt/kubernetes/manifests-multi/

# mv kube-controller-manager.manifest ../

# docker ps | grep controller-manager   ## 确认container 不存在后,等待30s,继续后面步骤

# mv ../kube-controller-manager.manifest .

# docker ps | grep controller-manager   ## 确保 container 正常运行

首席撩妹指导官
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
TOS+etcd+ca+及相关证书续签
08-07
TOS+etcd+ca+及相关证书续签】是关于在TOS(Two-O-Sea)环境下,针对etcd集群及其相关证书的更新过程。etcd是一个分布式的、一致性的键值存储系统,常用于Kubernetes等系统的集群状态管理。在TOS的老版本中,ca系统...
支持智能码头的TOS作业系统.ppt
03-22
支持智能码头的TOS作业系统.ppt
TOS8850绝缘耐压测试仪说明书
12-22
TOS8850A绝缘耐压测试仪详细说明书,日文版。 TOS8850A绝缘耐压测试仪详细说明书,日文版。
菊水TOS8030交流耐压测试仪说明书
11-20
日本菊水生产的TOS8030交流耐压测试仪(安规测试仪)说明书
Centos7.6 Docker 在线安装相关命令
01-20
目录1、Centos7.6 Docker 在线安装命令2、Docker 相关命令2.1 Docker 镜像相关命令2.1.1 查看 Docker 版本2.1.2 查看镜像2.1.3 获取镜像详细信息2.1.3.1 只获取其中一项内容2.1.4 使用history命令查看镜像历史2.1.5 ...
Servlet2-HTTP协议、HttpServletRequest类、HttpServletResponse类
m0_73902080的博客
07-25 808
协议:指双方或多方相互约定好,大家都需要遵守的规则HTTP协议:客户端和服务器之间通信时发送的数据需要遵守的规则HTTP协议中的数据又叫报文。
解决kkfileview 使用https预览问题记录
checkjiji的博客
07-23 443
项目使用了开源的kkfileview进行文件在线预览,部署方式使用的是docker,使用IP进行访问,但是http协议直接访问有漏洞告警,现在需要调整为https,且仍然需要使用IP访问。问题:使用自签证书将web中间件访问方式调整为https,代理kkfile容器8012端口,后预览图片正常,预览其他类型文件提示如下错误。2.修改Dockerfile把证书加入到kkfile的jdk环境。4.替换web中间件的自签证书,重新加载web服务,验证预览。3.使用新镜像重新启动kkfileview。
我去,怎么http全变https
qq_17105113的博客
07-19 8916
HTTP的。
Https post 请求时绕过证书验证方案
web
07-20 525
Caused by: java.security.cert.CertificateException: No subject alternative names matching IP address xxx.xx.xx.xx found
Http 和 Https 的区别(图文详解)
栗筝i的博客
07-22 1182
HTTP(Hypertext Transfer Protocol)和 HTTPS(Hypertext Transfer Protocol Secure)是用于在网络上进行通信的协议。它们的主要区别在于安全性和加密方式。
宝塔安装完成,但访问https宝塔面板404,可以试试如下操作
木卫二号的专栏
07-22 347
使用http登录成功,后面再看是什么原因。选 14 查看登录信息,和密码。选 26 关闭面板ssl
Python 和 Boto3 生成 Amazon S3 对象的 HTTPS URL
TechEnthusiast的博客
07-25 162
在使用 Amazon S3 存储服务时,我们经常需要获取存储桶中对象的 HTTPS URL。这篇博文将详细介绍如何使用 Python 和 Boto3 库来实现这一功能。
测试面试宝典(二十二)——http和https的区别
zhanghaiou07657的博客
07-22 561
HTTP 的连接相对简单,客户端向服务器发送请求后,服务器响应请求,连接随即关闭。HTTPS 在建立连接时需要进行更多的握手和验证步骤,以确保双方的身份和加密通信的有效性。例如,在进行网上银行交易或涉及个人隐私信息的传输时,必须使用 HTTPS 以确保安全。HTTP 是明文传输,数据在网络中传输时不进行加密,容易被窃取和篡改。由于 HTTPS 增加了加密和解密的过程,相对 HTTP 来说,会有一定的性能开销,但随着技术的发展,这种影响在逐渐减小。而 HTTP 不需要证书
如何检查我的网站是否支持HTTPS
2301_81852320的博客
07-22 906
怎么样检测网站是否支持https,如果证书部署上还是不能打开又该如何操作呢?看下几个步骤就可以解决:
12. Hibernate 模板设计模式
这是一个web全栈开发的博客,取其精华去其糟粕,争取让大家一看就懂,一学就会,一用就成~
07-22 1248
如何运用模板设计模式重构 Hibernate 操作流程;持久化对象与序列化接口;OOP中有一个编码原则 :写仅写一次。翻译过来就是,不要重复,要重用。答案是:使用模板设计模式进一步封装Hibernate的操作。在真实项目中,Hibernate仅仅只是完成项目中的一部分工作,需要和其它,如Spring等框架联合工作,一起承担整体项目的开发。Spring框架中就提供的有Hibernate模板对象。一个常规的、频繁的操作代码中,大部分代码不需要变动,只有小部分代码需要根据需求变动。
golang 接口
m0_70982551的博客
07-24 793
接口定义了一组方法,这些方法没有具体的实现。接口类型的变量可以存储任何实现了这些方法的类型的值。// 更多方法...在Go语言中,接口值是指存储了实现某个接口的具体类型值的变量。接口值由两部分组成:1.动态类型:这是接口值当前存储的实际类型。2.动态值:这是实际存储的值,该值必须实现了接口中定义的所有方法。
Swagger使用Map接受参数时,页面如何显示具体参数及说
最新发布
a1058926697的博客
07-26 264
后端使用Map接受参数,要求在swagger页面上显示具体的参数名称、类型及说明。当Map接受参数数量少时,可以使用Swagger自带的注解。自定义注解 @ApiGlobalModel。编写处理注解对应的插件。
Java读取文件中多个JSON对象,并且16进制字符串和byte相互转换,将byte转为16进制字符串并写入json文件
weixin_43561432的博客
07-24 312
【代码】Java读取文件中多个JSON对象,并且16进制字符串和byte相互转换,将byte转为16进制字符串并写入json文件。
springboot之自动装配
weixin_50153914的博客
07-23 469
Spring Boot 通过一系列注解和条件配置实现了自动装配机制,使得开发者无需手动配置大量的 XML 文件或 Java 配置类。自动配置机制利用文件中的自动配置类,并结合条件注解和组件扫描,实现了灵活且强大的自动装配功能。这样,开发者可以专注于业务逻辑的实现,而无需处理繁琐的配置细节。
iptables TOS
07-11
`iptables` (Internet Protocol Traffic ...在 `iptables` 规则中,你可以通过指定 TOS 值范围 (`tos <tos_value>`) 或者 DSCP 值 (`tos <dscp_value>`,其中 `dscp_value` 是基于 IETF RFC 2597) 来应用特定的规则。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值