Openssl 生成K8s证书和使用

已于 2023-09-10 10:42:41 修改
阅读量518 收藏
点赞数
文章标签: kubernetes 容器 云原生
于 2023-04-14 21:34:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36864672/article/details/130162553
版权

目录

背景:

证书生成:

CA证书:

kubernetes证书:

etcd证书:

admin证书:

kube-proxy证书:

front-proxy-client证书:

service-account证书:

registry证书:

配置修改:

参考文档:

背景:

  • 华为红线需要使用openssl进行生成证书
     

证书生成:

CA证书:

#生成私钥

openssl genrsa -out ca.key 2048

# 生成ca证书

openssl req -x509 -new -nodes -key ca.key -days 36500 -out ca.crt -subj "/C=CN/ST=BeiJing/L=BeiJing/O=k8s/OU=system/CN=kubernetes"

kubernetes证书:

# 生成kubernetes 私钥

openssl genrsa -out kubernetes.key 2048

#生成kubernetes csr文件

openssl req -new -key kubernetes.key -out kubernetes.csr -config kubernetes-csr.conf

#生成kubernetes 证书

openssl x509 -req -in kubernetes.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out kubernetes.crt  -days 36500 -extensions v3_ext -extfile kubernetes-csr.conf

 其中: kubernetes-csr.conf    kubernetes-csr.conf

kubernetes-csr.conf

[ req ]

default_bits = 2048

prompt = no

default_md = sha256

req_extensions = req_ext

distinguished_name = dn

     

[ dn ]

C = CN

ST = BeiJing

L = BeiJing

O = k8s

OU = System

CN = kubernetes

     

[ req_ext ]

subjectAltName = @alt_names

     

[ alt_names ]

DNS.1 = kubernetes

DNS.2 = kubernetes.default

DNS.3 = kubernetes.default.svc

DNS.4 = kubernetes.default.svc.cluster

DNS.5 = kubernetes.default.svc.cluster.local

DNS.6 = tos150

DNS.7 = tos151

DNS.8 = tos152

IP.1 10.10.0.1

IP.2 172.16.179.150

IP.3 172.16.179.151

IP.4 172.16.179.152

IP.5 127.0.0.1

     

[ v3_ext ]

basicConstraints=critical,CA:FALSE

authorityKeyIdentifier=keyid

subjectKeyIdentifier=hash

keyUsage=critical,digitalSignature,keyEncipherment

extendedKeyUsage=serverAuth,clientAuth

subjectAltName=@alt_names

PS:  DNS.x 和 IP.x 自行修改,其它的不需要进行修改

etcd证书:

#生成etcd 证书

openssl genrsa -out etcd.key 2048

openssl req -new -key etcd.key -out etcd.csr -config etcd-csr.conf

openssl x509 -req -in etcd.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out etcd.crt  -days 36500 -extensions v3_ext -extfile etcd-csr.conf

openssl x509  -noout -text -in ./etcd.crt

 其中:  etcd-csr.conf   etcd-csr.conf

[ req ]

default_bits = 2048

prompt = no

default_md = sha256

req_extensions = req_ext

distinguished_name = dn

     

[ dn ]

C = CN

ST = BeiJing

L = BeiJing

O = k8s

OU = System

CN = kubernetes

     

[ req_ext ]

subjectAltName = @alt_names

     

[ alt_names ]

DNS.1 = tos150

DNS.2 = tos151

DNS.3 = tos152

IP.1 10.10.0.1

IP.2 172.16.179.150

IP.3 172.16.179.151

IP.4 172.16.179.152

IP.5 127.0.0.1

     

[ v3_ext ]

basicConstraints=critical,CA:FALSE

authorityKeyIdentifier=keyid

subjectKeyIdentifier=hash

keyUsage=critical,digitalSignature,keyEncipherment

extendedKeyUsage=serverAuth,clientAuth

subjectAltName=@alt_names

admin证书:

#生成admin证书

openssl genrsa -out admin.key 2048

openssl req -new -key admin.key -out admin.csr -config admin-csr.conf

openssl x509 -req -in admin.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out admin.crt  -days 36500 -extensions v3_ext -extfile admin-csr.conf

openssl x509  -noout -text -in ./admin.crt

 其中:  admin-csr.conf  admin-csr.conf

[ req ]

default_bits = 2048

prompt = no

default_md = sha256

distinguished_name = dn

     

[ dn ]

C = CN

ST = BeiJing

L = BeiJing

O = system:masters

OU = System

CN = admin

     

[ v3_ext ]

basicConstraints=critical,CA:FALSE

authorityKeyIdentifier=keyid

subjectKeyIdentifier=hash

keyUsage=critical,digitalSignature,keyEncipherment

extendedKeyUsage=serverAuth,clientAuth

kube-proxy证书:

#生成kube-proxy 证书

openssl genrsa -out kube-proxy.key 2048

openssl req -new -key kube-proxy.key -out kube-proxy.csr -config kube-proxy-csr.conf

openssl x509 -req -in kube-proxy.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out kube-proxy.crt  -days 36500 -extensions v3_ext -extfile kube-proxy-csr.conf

openssl x509  -noout -text -in ./kube-proxy.crt

 其中:  kube-proxy-csr.conf  kube-proxy-csr.conf

[ req ]

default_bits = 2048

prompt = no

default_md = sha256

distinguished_name = dn

     

[ dn ]

C = CN

ST = BeiJing

L = BeiJing

O = k8s

OU = System

CN = system:kube-proxy

     

[ v3_ext ]

basicConstraints=critical,CA:FALSE

authorityKeyIdentifier=keyid

subjectKeyIdentifier=hash

keyUsage=critical,digitalSignature,keyEncipherment

extendedKeyUsage=serverAuth,clientAuth

front-proxy-client证书:

#生成front-proxy-client证书

openssl genrsa -out front-proxy-client.key 2048

openssl req -new -key front-proxy-client.key -out front-proxy-client.csr -config front-proxy-client-csr.conf

openssl x509 -req -in front-proxy-client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out front-proxy-client.crt  -days 36500 -extensions v3_ext -extfile front-proxy-client-csr.conf

openssl x509  -noout -text -in ./front-proxy-client.crt

 其中:  front-proxy-client-csr.conf  front-proxy-client-csr.conf

[ req ]

default_bits = 2048

prompt = no

default_md = sha256

req_extensions = req_ext

distinguished_name = dn

     

[ dn ]

C = CN

ST = BeiJing

L = BeiJing

O = k8s

OU = System

CN = aggregator

     

[ req_ext ]

subjectAltName = @alt_names

     

[ alt_names ]

DNS.1 = kubernetes

DNS.2 = kubernetes.default

DNS.3 = kubernetes.default.svc

DNS.4 = kubernetes.default.svc.cluster

DNS.5 = kubernetes.default.svc.cluster.local

DNS.6 = tos150

DNS.7 = tos151

DNS.8 = tos152

IP.1 10.10.0.1

IP.2 172.16.179.150

IP.3 172.16.179.151

IP.4 172.16.179.152

IP.5 127.0.0.1

     

[ v3_ext ]

basicConstraints=critical,CA:FALSE

authorityKeyIdentifier=keyid

subjectKeyIdentifier=hash

keyUsage=critical,digitalSignature,keyEncipherment

extendedKeyUsage=serverAuth,clientAuth

subjectAltName=@alt_names

service-account证书:

#生成service-account证书

openssl genrsa -out service-account.key 2048

openssl req -new -key service-account.key -out service-account.csr -config serviceaccount-csr.conf

openssl x509 -req -in service-account.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out service-account.crt  -days 36500 -extensions v3_ext -extfile serviceaccount-csr.conf

openssl x509  -noout -text -in service-account.crt

 其中:  serviceaccount-csr.conf  serviceaccount-csr.conf

[ req ]

default_bits = 2048

prompt = no

default_md = sha256

distinguished_name = dn

     

[ dn ]

C = CN

ST = BeiJing

L = BeiJing

O = k8s

OU = System

CN = service-accounts

     

[ v3_ext ]

basicConstraints=critical,CA:FALSE

authorityKeyIdentifier=keyid

subjectKeyIdentifier=hash

keyUsage=critical,digitalSignature,keyEncipherment

extendedKeyUsage=serverAuth,clientAuth

registry证书:

#生成registry证书

openssl genrsa -out registry.key 2048

openssl req -new -key registry.key -out registry.csr -config registry-csr.conf

openssl x509 -req -in registry.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out registry.crt  -days 36500 -extensions v3_ext -extfile registry-csr.conf

openssl x509  -noout -text -in registry.crt

 其中:  registry-csr.conf  registry-csr.conf

[ req ]

default_bits = 2048

prompt = no

default_md = sha256

req_extensions = req_ext

distinguished_name = dn

     

[ dn ]

C = CN

ST = BeiJing

L = BeiJing

O = k8s

OU = System

CN = kubernetes

     

[ req_ext ]

subjectAltName = @alt_names

     

[ alt_names ]

DNS.1 = registry

DNS.6 = tos150

DNS.7 = tos151

DNS.8 = tos152

IP.1 10.10.0.1

IP.2 172.16.179.150

IP.3 172.16.179.151

IP.4 172.16.179.152

IP.5 127.0.0.1

     

[ v3_ext ]

basicConstraints=critical,CA:FALSE

authorityKeyIdentifier=keyid

subjectKeyIdentifier=hash

keyUsage=critical,digitalSignature,keyEncipherment

extendedKeyUsage=serverAuth,clientAuth

subjectAltName=@alt_names

配置修改:

xxx.pem       ---->  xxx.crt

xxx-key.pem   ---->  xxx.key

参考文档:

首席撩妹指导官
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
利用openssl生成证书
select603的专栏
02-04 552
第一步: 生成一个4096bit的rsa key openssl genrsa -out ca.key 4096 Generating RSA private key, 4096 bit long modulus .................................................................................
Openssl生成证书
ever_5678的博客
11-08 228
Openssl生成ssl证书的流程 SSL证书用于在客户端浏览器和Web服务器之间建立一条SSL安全通道(Secure Socket Layer)。SSL安全协议主要用来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变,即数据的完整性,现已成为该领域中全球化的标准。通过服务器端和客户端安装证书可以激活SSL协议,实现数据信息在客户端和服务器之间的加密传输,防止以后的数...
二进制搭建 Kubernetes(一)
weixin_62466637的博客
03-23 1573
一、 环境准备 k8s集群master01:192.168.130.140 kube-apiserver kube-controller-manager kube-scheduler etcd k8s集群node1:192.168.130.151 kubelet kube-proxy docker flannel k8s集群node2:192.168.130.152 kubelet kube-proxy docker flannel 二、操作系统初始化配置 2.1 关闭防火墙..
Kubernetes 证书一键生成(包含 etcd 证书)
04-30
执行证书后,可以根据配置文件一键生成 Kubernetes证书etcd 证书,可以免去手动生成,资源包括配置文件,与Linux可执行文件
openssl 生成证书步骤
最新发布
hinewcc的博客
05-08 2533
本地使用 openssl 生成证书
【博客539】使用openssl手动为k8s集群签发证书
qq_43684922的博客
11-19 1624
1、生成ca私钥:生成一个 2048 位的 ca.key 文件2、基于ca私钥,生成根(root)证书:在 ca.key 文件的基础上,生成 ca.crt 文件。
使用OpenSSL生成Kubernetes证书的介绍
09-30
今天小编就为大家分享一篇关于使用OpenSSL生成Kubernetes证书的介绍,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
openssl创建自签CA、签发证书、添加k8s节点
nangonghen的博客
04-20 3440
openssl基本用法、为证书指定SAN、为kubernetes集群手工添加节点
opensslk8s生成SSL证书
识途老码
03-25 5914
opensslk8s生成SSL证书
k8s证书修改为10年文件
06-13
首先,我们需要理解k8s证书的角色和用途。在k8s中,证书主要用于验证API服务器、etcd、kubelet、controller manager、scheduler等组件之间的身份,以及客户端(如kubectl)与服务器之间的身份验证。证书包含了公钥和...
k8s部署kuboard(支持https认证)
11-04
首先,使用`openssl`工具创建自签名的CA证书,确保证书有效天数足够。然后,创建服务器端证书的请求文件,再使用CA证书对其进行签发。同样,我们也需要生成客户端证书的请求文件,并由CA签发。这些证书和密钥将用于...
k8s集群部署文档.docx
05-15
在二进制部署过程中,所有kubelet服务都将通过bootstrap配置启动,避免在master节点上直接生成证书,转而使用openssl生成更安全的证书。 **重要提示**: 避免使用secureCRT等可能导致命令执行异常的SSH软件复制和...
[云原生k8s] k8s的CA证书创建和使用
qq_57377057的博客
11-01 2383
目前生产部署Kubernetes集群主要有两种方式:(1)kubeadmKubeadm 是一个 K8s 部署工具,提供 kubeadm init 和 kubeadm join,用于快速部 署 Kubernetes 集群。官方地址:https://kubernetes.io/docs/reference/setup-tools/kubeadm/kubeadm/(2)二进制包从 github 下载发行版的二进制包,手动部署每个组件,组成 Kubernetes 集群。
SSL基础:23:生成Kubernetes集群证书(OpenSSL方式)
知行合一 止于至善
12-15 1874
使用OpenSSL提供的命令则可非常容易地生成kubernetes集群创建所需要的证书,参照官方给的示例方法,再结合前面的文章对于OpenSSL使用介绍,会发现openssl使用起来还是非常方便和简单的。
Kubeadm生成k8s证书内容说明以及延长证书过期时间
weixin_43258559的博客
03-23 1632
kubeadm 部署的 Kubernetes 集群是以 pod 的方式运行 etcd 服务的, 在该 pod 的定义中, 配置了 Liveness 探活探针。
Kubernetes证书篇:手动生成二进制kubernetes集群相关证书
东城绝神
04-24 1652
《《Kubernetes证书篇:二进制手动生成kubernetes集群相关证书
k8s环境生成自签名证书配置secret tls并配置到浏览器
lucky_ykcul的博客
08-23 2239
最近公司的网站偶尔会出现“network error”的报错导致网页不稳定,打开开发者工具发现报错为“Failed to load resource: net ::ERR_CERT_AUTHORITY_INVALIED”原因为网页存在认证问题。解决措施有三种:1.申请域名购买证书;2.自己生成自签名证书;3.将https访问方式改为http。综合考虑成本和安全因素后决定使用自签名证书来解决此问题。
openssl证书颁发
Gabriel的博客
07-19 84
表示加密算法(生成的私钥为了安全要进行加密),这里选择des3算法和(根据 口令,盐值,迭代次数 推算出来对称加密密钥)对私钥做对称加密。私钥生成后,您的私钥文件现在将作为 server.key 保存在您的当前目录中,并将用于生成CSR(因为csr这个里面包含公钥,所以这里需要私钥来生成对应的公钥)生成的server.key为加密私钥文件,私钥就保存在这个文件内,一般文件内的私钥已被加密,只有通过口令才能得到原私钥。指生成的私钥文件 1024指生成的私钥长度,还可以选2048,4096,默认是1024。
Kubernetes 证书详解
qq_37091832的博客
05-25 3324
Kubernetes 组件之间证书的关系~
k8s secret 证书
05-13
Kubernetes Secret 是一个用来存储敏感数据的 Kubernetes 对象,包括 API 密钥、密码、 OAuth 令牌和 TLS 证书等。要创建一个 TLS 证书的 Secret,可以执行以下步骤: 1. 创建一个包含证书和私钥的 PEM 文件。可以通过 OpenSSL 等工具生成这个文件。 2. 将 PEM 文件的内容放入 Kubernetes Secret 中。可以使用 `kubectl create secret tls` 命令创建 Secret,如下所示: ``` kubectl create secret tls <secret-name> --cert=<path-to-cert-file> --key=<path-to-key-file> ``` 也可以将 PEM 文件的内容以 base64 编码的形式放入 Secret 中,如下所示: ``` kubectl create secret tls <secret-name> --cert=<path-to-cert-file> --key=<path-to-key-file> --dry-run=client -o yaml | kubectl apply -f - ``` 其中 `--dry-run=client -o yaml` 选项会将 Secret 的 YAML 配置输出到标准输出,`| kubectl apply -f -` 会将 YAML 配置应用到 Kubernetes 集群中。 3. 在需要使用证书Kubernetes 对象(如 Ingress、Service 等)的 YAML 配置中,将 Secret 的名称和证书密钥的名称指定为 TLS 配置的一部分,如下所示: ``` apiVersion: extensions/v1beta1 kind: Ingress metadata: name: my-ingress annotations: nginx.ingress.kubernetes.io/ssl-cert: <secret-name> spec: tls: - hosts: - example.com secretName: <secret-name> ... ``` 在这个例子中,`nginx.ingress.kubernetes.io/ssl-cert` 注解指定了使用哪个 Secret,`tls.secretName` 指定了 Secret 的名称。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值