k3s证书过期解决方法(终极解决-超级简单)

最新推荐文章于 2024-04-18 17:25:15 发布
最新推荐文章于 2024-04-18 17:25:15 发布
阅读量2.8k 收藏 4
点赞数 1
文章标签: 服务器 运维 kubernetes kubelet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41190902/article/details/127766203
版权

k3s证书到期一年,每年都要轮换一次

问题描述

官方文档说是到期前1个月重启会轮换,并且到期后不能再访问,因此要争取到到期前一个月,服务器要重启,网上有两种解决方案
方案1 是手动设置到期时间,删掉相关CA文件,重启后,更新证书

方案2 直接编写sh,重新生产自定义时间证书,替换

头脑风暴:

方案2可行,有点麻烦,方案1可行,但是也是要每年操作一次,也麻烦,突然想到,如果在方案1的基础上,我修改服务器时间到10年后,再重启呢,会是什么情况?

解决方案:

原始方案1

1、关闭时间同步

timedatectl set-ntp no

2、查看k3s过期时间

for i in `ls /var/lib/rancher/k3s/server/tls/*.crt`; do echo $i; openssl x509 -enddate -noout -in $i; done

3、设置时间到过期前一个月

date -s 20211105

4、删除 secret k3s-serving

sudo kubectl --insecure-skip-tls-verify -n kube-system delete secrets k3s-serving

5、删除系统中的文件dynamic-cert.json

sudo rm -f /var/lib/rancher/k3s/server/tls/dynamic-cert.json

6、重启k3s

sudo service k3s restart

7、查看过期时间

for i in `ls /var/lib/rancher/k3s/server/tls/*.crt`; do echo $i; openssl x509 -enddate -noout -in $i; done

8、打开时间同步

timedatectl set-ntp yes

更新查看过期日期

/var/lib/rancher/k3s/server/tls/client-admin.crt
notAfter=Nov  6 16:56:46 2023 GMT
/var/lib/rancher/k3s/server/tls/client-auth-proxy.crt
notAfter=Nov  6 16:56:46 2023 GMT
/var/lib/rancher/k3s/server/tls/client-ca.crt
notAfter=Nov  3 16:56:46 2032 GMT
/var/lib/rancher/k3s/server/tls/client-controller.crt
notAfter=Nov  6 16:56:46 2023 GMT
/var/lib/rancher/k3s/server/tls/client-k3s-cloud-controller.crt
notAfter=Nov  6 16:56:46 2023 GMT
/var/lib/rancher/k3s/server/tls/client-k3s-controller.crt
notAfter=Nov  6 16:56:46 2023 GMT
/var/lib/rancher/k3s/server/tls/client-kube-apiserver.crt
notAfter=Nov  6 16:56:46 2023 GMT
/var/lib/rancher/k3s/server/tls/client-kube-proxy.crt
notAfter=Nov  6 16:56:46 2023 GMT
/var/lib/rancher/k3s/server/tls/client-scheduler.crt
notAfter=Nov  6 16:56:46 2023 GMT
/var/lib/rancher/k3s/server/tls/request-header-ca.crt
notAfter=Nov  3 16:56:46 2032 GMT
/var/lib/rancher/k3s/server/tls/server-ca.crt
notAfter=Nov  3 16:56:46 2032 GMT
/var/lib/rancher/k3s/server/tls/serving-kube-apiserver.crt
notAfter=Nov  6 16:56:46 2023 GMT

大概时间延后了一年, 然后注意分析,

新解决方案

注意顺序:因为如果设置系统时间已经过期,是无法调用kubectl 删除 证书的,必须要在有效期内操作

 

1、关闭时间同步

timedatectl set-ntp no

2、查看k3s过期时间

for i in `ls /var/lib/rancher/k3s/server/tls/*.crt`; do echo $i; openssl x509 -enddate -noout -in $i; done

3、删除 secret k3s-serving 

kubectl --insecure-skip-tls-verify -n kube-system delete secrets k3s-serving

4、删除系统中的文件dynamic-cert.json

rm -f /var/lib/rancher/k3s/server/tls/dynamic-cert.json

3、设置时间系统时间到 2050-01-01

date -s 20500101

6、重启k3s

sudo service k3s restart

7、查看过期时间

for i in `ls /var/lib/rancher/k3s/server/tls/*.crt`; do echo $i; openssl x509 -enddate -noout -in $i; done

8、打开时间同步

timedatectl set-ntp yes

执行后,再查看证书过期时间

/var/lib/rancher/k3s/server/tls/client-admin.crt
notAfter=Dec 31 16:00:14 2050 GMT
/var/lib/rancher/k3s/server/tls/client-auth-proxy.crt
notAfter=Dec 31 16:00:14 2050 GMT
/var/lib/rancher/k3s/server/tls/client-ca.crt
notAfter=Nov  3 16:56:46 2032 GMT
/var/lib/rancher/k3s/server/tls/client-controller.crt
notAfter=Dec 31 16:00:14 2050 GMT
/var/lib/rancher/k3s/server/tls/client-k3s-cloud-controller.crt
notAfter=Dec 31 16:00:14 2050 GMT
/var/lib/rancher/k3s/server/tls/client-k3s-controller.crt
notAfter=Dec 31 16:00:14 2050 GMT
/var/lib/rancher/k3s/server/tls/client-kube-apiserver.crt
notAfter=Dec 31 16:00:14 2050 GMT
/var/lib/rancher/k3s/server/tls/client-kube-proxy.crt
notAfter=Dec 31 16:00:14 2050 GMT
/var/lib/rancher/k3s/server/tls/client-scheduler.crt
notAfter=Dec 31 16:00:14 2050 GMT
/var/lib/rancher/k3s/server/tls/request-header-ca.crt
notAfter=Nov  3 16:56:46 2032 GMT
/var/lib/rancher/k3s/server/tls/server-ca.crt
notAfter=Nov  3 16:56:46 2032 GMT
/var/lib/rancher/k3s/server/tls/serving-kube-apiserver.crt
notAfter=Dec 31 16:00:14 2050 GMT

搞定!但是还有几个证书是2032年的,这个无法更新,暂且不管,反正有10年可用,相信也够支撑很久了

笨笨的程序员chris
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
k3s-arm64版本
05-14
k3s是rancher®出品的一个简化、轻量的k8s,本篇博客记录k3s的安装及踩的部分坑。 从名字上也能看出,k3s比k8s少了些东西,详情可见其官网k3s.io。而k3s-arm64是arm64平台可用的k3s版本
k3s-airgap-images-arm64.tar
05-14
arm64可用的k3s agent节点的离线镜像。在以docker作为agent节点的容器运行时,需要先将离线镜像导入到docker中。
rancher的k3s证书过期
运维玄德公
01-16 826
现象 rancher报错日志 分析 解决思路 解决
k3s证书过期的处理 以及 修改k3s证书有效期为10年(或自定义时间)
wangxi83的博客
04-24 4677
1、常规操作 由于k3s证书的默认过期时间是12个月,因此到期之前或不小心到期,需要轮换 其实官网有明确的说明以及处理办法——但是你会发现按照官方处理办法,基本上无法生效 这里给一个一定可行的办法 # 在其中一个节点上执行 k3s kubectl --insecure-skip-tls-verify=true delete secret k3s-serving -n kube-system # 在每个节点上执行 rm -rf /var/lib/rancher/k3s/server/tls/dynamic-
K3S 证书有效期和续签问题
代码搬运工
04-18 221
K3s 客户端和服务器证书自颁发日起 365 天内有效。每次启动 K3s 时,已过期或 90 天内过期证书都会自动更新。:90天内过期证书可以通过重启k3s没问题,已过期不行,所以已过期的需要手动处理。
k3s证书过期问题处理
MichaelZ的博客
03-17 323
k3s证书逻辑: k3s证书有效期默认是1年,如果证书已经过期或剩余的时间不足90天,则在重启k3s时就会自动轮转证书。但在之前的版本中,由于BUG(),会导致k3s重启无法自动轮转证书,此时则需要手动轮转证书
K3S证书过期解决方法
huangruifeng的博客
09-16 1409
以ubuntu为例 1、关闭时间同步 timedatectl set-ntp no 2、查看k3s过期时间 for i in `ls /var/lib/rancher/k3s/server/tls/*.crt`; do echo $i; openssl x509 -enddate -noout -in $i; done 3、设置时间到过期前一个月 date -s 20211105 4、删除 secret k3s-serving sudo kubectl --insecure-skip-tls-veri
k3s证书过期傻瓜式解决方法 新版 100年过期
panyuwuyanzu的博客
02-22 466
【代码】k3s证书过期傻瓜式解决方法 新版 100年过期
rancher2.5.9 提示证书过期问题
千湖
09-16 1761
rancher2.5.9 证书过期,ui界面更新无效解决办法
精品K3-Cloud供应链解决方案.rar
最新发布
04-27
K3_Cloud供应链解决方案是一个针对企业数字化转型的综合性工具包,旨在通过先进的云计算技术帮助企业实现供应链管理的现代化。该解决方案融合了物联网、大数据分析、人工智能等前沿技术,为企业提供了一个高效、透明...
K3s边缘计算数据中心解决方案.pdf
10-12
"K3s边缘计算数据中心解决方案" Title: K3s边缘计算数据中心解决方案 Description: 本文档介绍了K3s边缘计算数据中心解决方案,旨在解决数据中心和边缘计算场景下的复杂性问题。K3s是微型Kubernetes发行版,具有轻...
金蝶K3常见问题及故障排除汇总
04-01
1.拒绝的权限 2.用户名和密码错误 3.连接中间层加密服务失败,请确认中间加密服务已经启动! 4.定义的应用程序或者对象错误 5.在服务器上创建对象[KdSvrMar.clsact]失败 6.当前使用的功能与其它用户冲突,目前无法使用。 7.该模块使用已超过最大数,并且该帐套已超过演示版期限。 8.K3中间帐套管理登陆提示:文件路径访问错误。 9.K3客户端运行报如图错误。
金蝶K3Cloud智能制造解决方案.ppt
03-19
金蝶K3Cloud智能制造解决方案.ppt
解决金蝶未检测到K/3许可文件,并且该账套已超过演示版期限问题
Littleree的博客
07-02 2965
解决金蝶未检测到K/3许可文件,并且该账套已超过演示版期限问题
金蝶K3登录后提示“你的金蝶标准支持服务已到期”补丁修复
hzfw2008的博客
06-01 7088
WISE登录K/3时提示:你的金蝶标准支持服务已到期,点击下面的复选框:下次不再提示,但是不生效,下次登录时还是会提示。 这也是个bug,比较讨厌,不知道的就忍了。 各wise版本对应补丁如下: 补丁下载后,在客户端执行一下就可以了。 记得打完以后重启一下电脑。 更新: 打补丁后,还是会出现报错提示,重新生成license导入即可。 ...
k3s rancher证书过期x509
天津托的博客
06-13 562
rancher x509: certificate has expired or is not yet valid 证书过期
rancher证书过期怎么办
运维@小兵的博客
12-17 5169
查看证书日期 find / -name '*client-ca.crt' -type f cd /data/docker/volumes/d5c55bbfc477cc744ec4b7ba2361c26b3bc5c814ee9e79e7205207b02d278bdd/_data/k3s/server/tls/ for i in ls /var/lib/rancher/k3s/server/tls/*.crt; do echo $i; openssl x509 -enddate -noout -in $i
rancher证书过期处理
weixin_39717172的博客
07-02 902
rancher证书过期 日志提示X509 报错,rancher证书过期导致 操作步骤 1、关闭ntp同步,不然时间会自动更新 timedatectl set-ntp false 2、 修改节点时间(修改到未过期时间) timedatectl set-time ‘2019-01-01 00:00:00’ 3、重启容器 3、进入容器备份/var/lib/rancher/k3s/server/tls目录 4、删除/var/lib/rancher/k3s/server/tls目录下所有证书 5、重启容器 ...
Rancher 轮换证书 和 Rancher 自身证书过期处理
无恋-zx的博客
01-25 1498
概述 本文所述 “证书” 分为 “Rancher 自身证书” 和 “Rancher 启动的 Kubernetes证书” 两种。 默认情况下,Kubernetes 集群所需要的证书由 Rancher 生成,如果出现证书过期,或证书泄露等情况,则需要使用新的证书轮换掉有问题的证书。轮换证书后,Kubernetes 组件将自动重新启动。 以下服务支持证书轮换: etcd kubelet kube-apiserver kube-proxy kube-scheduler kube-controller-m.
k3s rancher
08-09
Rancher是一个开源的容器管理平台,而K3s是一个轻量级的Kubernetes发行版,专为边缘计算和资源受限环境而设计。您的引用中提到了一些关于安装K3s和Rancher的命令和配置选项。 根据引用中的内容,您可以使用`--set hostname`选项指定生成证书时的域名,并使用`--set replicas`选项设置Rancher部署所使用的复制数量。如果您的集群中少于3个节点,应根据实际节点数量设置。您还可以使用`--set ingress.tls.source=secret`选项将TLS证书源设置为secret。 引用中提到,您可以使用`systemctl start k3s.service`命令来启动K3s服务,并使用`systemctl status k3s.service`命令来查看K3s服务的状态。 根据引用中的内容,在Ubuntu 20.04环境中安装K3s server节点的第一步是执行一个安装脚本,并使用一些参数来指定配置选项。然后,您可以安装Helm作为第二步。 因此,对于您的问题"k3s rancher",您可以根据上述引用中的命令和配置选项来安装和配置K3s和Rancher。请确保您根据您的环境和需求进行相应的调整和配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值