四,Kubernetes_v1.14.2创建 CA 证书和秘钥

最新推荐文章于 2023-04-24 11:38:41 发布
最新推荐文章于 2023-04-24 11:38:41 发布
阅读量710 收藏
点赞数 1
分类专栏: kubernetes 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40460909/article/details/90522076
版权

一,安装 cfssl 工具集(k8s-master01统一完成证书创建分发)

使用cfssl生成CA证书需要单独安装cfssl。

curl -L https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o /opt/kubernetes/bin/cfssl
curl -L https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -o /opt/kubernetes/bin/cfssljson
curl -L https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -o /opt/kubernetes/bin/cfssl-certinfo
chmod +x /opt/kubernetes/bin/*
#验证是否下载成功
ls -ld /opt/kubernetes/bin/cfssl /opt/kubernetes/bin/cfssljson /opt/kubernetes/bin/cfssl-certinfo

 



二,创建根证书 (CA)

CA 证书是集群所有节点共享的,只需要创建一个 CA 证书,后续创建的所有证书都由它签名

创建配置文件

CA 配置文件用于配置根证书的使用场景 (profile) 和具体参数 (usage,过期时间、服务端认证、客户端认证、加密等),后续在签名其它证书时需要指定特定场景


ca-config.json文件:

cd /opt/kubernetes/ssl
cat > ca-config.json <<EOF
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "kubernetes": {
        "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ],
        "expiry": "87600h"
      }
    }
  }
}
EOF
  • signing:表示该证书可用于签名其它证书,生成的 ca.pem 证书中 CA=TRUE
  • server auth:表示 client 可以用该该证书对 server 提供的证书进行验证;
  • client auth:表示 server 可以用该该证书对 client 提供的证书进行验证;

 

创建证书签名请求文件

ca-csr.json文件

cd /opt/kubernetes/ssl
cat > ca-csr.json <<EOF
{
  "CN": "kubernetes",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "k8s",
      "OU": "System"
    }
  ]
}
EOF
  • CN:Common Name,kube-apiserver 从证书中提取该字段作为请求的用户名 (User Name),浏览器使用该字段验证网站是否合法;
  • O:Organization,kube-apiserver 从证书中提取该字段作为请求用户所属的组 (Group);
  • kube-apiserver 将提取的 User、Group 作为 RBAC 授权的用户标识;

 

 

三,生成证书(ca-key.pem)和秘钥(ca.pem)

cfssl gencert -initca ca-csr.json | cfssljson -bare ca

#验证是否创建成功
ls -ld ca-config.json ca-csr.json ca.csr ca.pem ca-key.pem

 

 

四,分发证书到各个节点

将生成的 CA 证书、秘钥文件、配置文件拷贝到所有节点的 /opt/kubernetes/ssl 目录下

source /root/env.sh
for master_ip in ${MASTER_IPS[@]}
do
echo -e "\033[31m>>> ${master_ip} \033[0m"
ssh root@${master_ip} "mkdir -p /opt/kubernetes/ssl"
scp ca-config.json ca.csr ca.pem ca-key.pem root@${master_ip}:/opt/kubernetes/ssl
done
#验证是否分发成功
source /root/env.sh
for master_ip in ${MASTER_IPS[@]}
do
echo -e "\033[31m>>> ${master_ip} \033[0m"
ssh root@${master_ip} "ls -ld /opt/kubernetes/ssl/ca*"
done

 

 

五,参考

各种 CA 证书类型:

https://github.com/kubernetes-incubator/apiserver-builder/blob/master/docs/concepts/auth.md

LanVv
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubernetes-v1.14.2
06-10
二进制安装包: kubernetes-client-linux-amd64.tar.gz kubernetes-server-linux-amd64.tar.gz 版本信息: v1.14.2 server包大于上传限制(240MB),附加文本直接百度网盘下载。
kubernetes集群安装指南:创建CA证书及相关组件证书密钥
bjdmy2068的博客
07-01 872
在实际kubernetes应用场景中,集群内组件之间访问都是通过TLS双向认证安全访问,即https访问,所以在部署时,给kubernetes各个组件创建证书是必要的,这是因为没有https安全访问会导致集群间节点通信访问不安全,非法用户可以通过客户端操作,对集群资源非法操作,引起集群服务异常,甚至集群宕机。例如:非法操作etcd存储的数据,因此集群开启https访问双向认证是必要的。 1 准备工...
Linux环境签发CA证书和K8s需要的证书
风水道人
05-22 396
Linux环境签发CA证书和K8s需要的证书
使用openssl生成CA、server、client私钥和证书证书包括公钥)
weixin_39991993的博客
04-05 7920
参考:SSL证书制作并使用NodeJs进行HTTPS认证配置 - 苍青浪 - 博客园 1. 生成CA证书及私钥: 1)生成一个私钥为ca-key.pem openssl genrsa -out ca-key.pem -des 1024 ca私钥使用:tfo0zQ1JiP3PeZQVAzMy 【后面也会用到】 2)根据秘钥ca-key.pem生成一个证书签名请求文件ca-csr.pem,根据这个文件可以签出秘钥对应的证书。在这里会要求填入相关信息,可以用“.”表示为空,但Common Name必须要填
Kubernetes证书篇:手动生成二进制kubernetes集群相关证书
东城绝神
04-24 1717
《《Kubernetes证书篇:二进制手动生成kubernetes集群相关证书
k8s----------各种证书配置参数
weixin_51432789的博客
04-13 1996
目录一、ca.pem & ca-key.pem & ca.csr二、token.csv三、bootstrap.kubeconfig、kubectl五、kubelet六、kube-apiserver七、kube-controller-manager八、kube-scheduler && kube-proxy etcd flannel master&node 单节点配置k8s的过程各种认证证书,在之前的配置时,相信很多人已经完全给绕晕了。现在整理下各种证书的认证配置 一
apche_tomcat1.14.2-and-nginx8.5.65.zip
04-12
在提供的压缩包 "apche_tomcat1.14.2-and-nginx8.5.65.zip" 中,包含了 Linux 版本的 Apache Tomcat 8.5.65 和 Nginx 1.14.2。这两个组件都有各自独特的功能和优势,广泛应用于Web服务和应用程序部署。 Apache ...
nginx for Windows v1.14.2 稳定版
10-05
Nginx (engine x) 是一个高性能的 HTTP 和 反向代理 服务器,也是一个 IMAP/POP3/SMTP 代理服务器。 Nginx 是由 Igor Sysoev 为俄罗斯访问量第二的 Rambler.ru 站点开发的,它已经在该站点运行超过两年
k8s-v.1.14.2搭建和操作(安装-web-监控-完成)-kubernetes的kubeadmin高可用包和详细文档笔记
最新发布
05-27
在本压缩包中,我们聚焦于“k8s-v.1.14.2搭建和操作”的主题,涉及了Kubernetes(简称k8s)的安装、Web界面使用以及监控功能的实现。Kubernetes作为业界领先的容器编排系统,其高可用性(HA)对于生产环境至关重要。...
GF开发框架 v1.14.2
11-25
为您提供GF开发框架下载,GF(Go Frame)是一款模块化、高性能、生产级的Go基础开发框架。 实现了比较完善的基础设施建设以及开发工具链,提供了常用的基础开发模块, 如:缓存、日志、队列、数组、集合、容器、定时器...
自建CA证书和对应私钥(PEM格式)
04-26
本资源是自建的一个CA证书和私钥,可以用于测试https网络安全测试,在服务器端使用此证书配置,终端访问可以实现https访问,其中证书和密钥都是以文件的形式存储,证书的有效期是两年。
openssl 生成证书 ca.pem client.pem server.pem
zxygww的专栏
11-14 9392
OpenSSL 证书生成主要有三步,1、管理员生成“证书私钥‘,然后用私钥生成一份“证书请求文件“(.csr)2、管理员将“证书请求文件“交给商业性CA签署,比如 Verisign 形成正式证书。3、管理员在服务器上导入这个证书。 一、准备工作 根据 OpenSSL 默认配置文件,新建相应目录结构。当然你也可以修改配置文件[ca_default]部分,指定相应目录。
OpenSSL常见用法
liitdar的博客
06-21 2598
本文主要介绍OpenSSL的常见用法。说明:本文介绍的OpenSSL常见用法是面向Linux操作系统的。引用OpenSSL官网上的描述,内容如下:使用OpenSSL的genrsa命令生成服务器的密钥对(包含公钥和私钥),命令如下: 上面的命令生成一个2048 bit的密钥对,并输出到文件server-key.pem里。server-key.pem是pem格式的,其内容如下: 虽然server-key.pem文件的头尾都标注着“RSA PRIVATE KEY”,但实际上这个文件中既包括公钥也包括私钥。
Kubernetes集群部署之二CA证书制作
完颜振江
02-04 828
创建TLS证书秘钥 kubernetes 系统的各组件需要使用 TLS 证书对通信进行加密,本文档使用 CloudFlare 的 PKI 工具集 cfssl 来生成 Certificate Authority (CA) 和其它证书. 1. 下载并安装 CFSSL: # cat cssl.sh #!/bin/bash curl -L https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o /usr/local/bin/cfssl curl -L https:
证书之间的转换(crt pem key)
热门推荐
何惜戈
12-05 19万+
在ssh协议中,采用一种非对称加密的方式保障通信安全,即a,b通过tcp建立连接后,b生成一对公私钥并将公钥发送给a,a再将密钥用b的公钥发送给a,后续通信便使用密钥加密。 在https协议中,有证书(ca:包含公钥及其他一些信息)这种存在。即在http的基础上加入ssl层,使数据在传输过程中加密,证书就是这个过程的一个认证官。 常见公钥后缀:pem crt key 常见私钥后缀:pfx p...
证书类型、自签CA证书、https双向认证(一篇就懂系列)
MX__LL的博客
06-16 7253
证书类型、自签CA证书、https双向认证(一篇就懂系列)
创建用户认证授权的 kubeconfig 文件
小云的博客
05-26 809
创建用户认证授权的 kubeconfig 文件 当我们安装好集群后,如果想要把 kubectl 命令交给用户使用,就不得不对用户的身份进行认证和对其权限做出限制。下面以创建一个 cby 用户并将其绑定到 cby 和 chenby 的 namespace 为例说明。创建生成证书配置文件 详细见:https://github.com/cby-chen/Kubernetes#2...
细说 CA证书
skykingf的专栏
05-03 3万+
转自 https://linux.cn/article-7289-1.html CACatificate Authority,它的作用就是提供证书(即服务器证书,由域名、公司信息、序列号和签名信息组成)加强服务端和客户端之间信息交互的安全性,以及证书运维相关服务。任何个体/组织都可以扮演 CA 的角色,只不过难以得到客户端的信任,能够受浏览器默认信任的 CA 大厂商有很多
制作SSL证书-openssl命令
wnjok的专栏
10-28 376
  文章结构____________________________________________________________   1、实例 2、帮助命令 3、常用命令 1、实例____________________________________________________________   ----------------------------pe...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值