cfssljson详解1

已于 2023-07-19 23:07:12 修改
阅读量391 收藏
点赞数 1
分类专栏: 云原生 文章标签: 云原生 kubernetes etcd ssl
于 2023-07-19 23:06:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41768644/article/details/131819530
版权

一、cfssljson简介

   大多数cfssl命令的输出内容都是JSON格式的,而cfssljson工具可以将这些JSON格式的输出内容作为输入内容,并按照key键(key, certificate, CSR, and bundle)将之区分然后输出。

二、相关命令

[root@master01 cfssl]#  /opt/kubernetes/bin/cfssljson -h
Usage of /opt/kubernetes/bin/cfssljson:
  -alsologtostderr
    	log to standard error as well as files
  -bare
    	the response from CFSSL is not wrapped in the API standard response
  -f string
    	JSON input (default "-")
  -log_backtrace_at value
    	when logging hits line file:N, emit a stack trace
  -log_dir string
    	If non-empty, write log files in this directory
  -logtostderr
    	log to standard error instead of files
  -stderrthreshold value
    	logs at or above this threshold go to stderr
  -stdout
    	output the response instead of saving to a file
  -v value
    	log level for V logs
  -version
    	print version and exit
  -vmodule value
    	comma-separated list of pattern=N settings for file-filtered logging
[root@master01 cfssl]#

1、/opt/kubernetes/bin/cfssl gencert -ca=“./ca.pem” -ca-key=“./ca-key.pem” ca-csr.json | /opt/kubernetes/bin/cfssljson -bare hello

[root@master01 cfssl]#  /opt/kubernetes/bin/cfssl gencert  -ca="./ca.pem"  -ca-key="./ca-key.pem"  ca-csr.json
2023/07/19 07:56:30 [INFO] generate received request
2023/07/19 07:56:30 [INFO] received CSR
2023/07/19 07:56:30 [INFO] generating key: ecdsa-256
2023/07/19 07:56:30 [INFO] encoded CSR
2023/07/19 07:56:30 [INFO] signed certificate with serial number 552297536142797801701050543379858957627076600008
{"cert":"-----BEGIN CERTIFICATE-----\nMIICHDCCAcGgAwIBAgIUYL3gyEW2mGq1VOc7KxuUOi9vYMgwCgYIKoZIzj0EAwIw\nSDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAkNBMRYwFAYDVQQHEw1TYW4gRnJhbmNp\nc2NvMRQwEgYDVQQDEwtleGFtcGxlLm5ldDAeFw0yMzA3MTkxNDUyMDBaFw0yNDA3\nMTgxNDUyMDBaMEgxCzAJBgNVBAYTAlVTMQswCQYDVQQIEwJDQTEWMBQGA1UEBxMN\nU2FuIEZyYW5jaXNjbzEUMBIGA1UEAxMLZXhhbXBsZS5uZXQwWTATBgcqhkjOPQIB\nBggqhkjOPQMBBwNCAARLZSvj06Kn6QpdKUTCCmBdxXx9GnxLsk74v1fLOEeoRL9l\nCeiJP3CKJjmAQFuOs5pJiqSq3hf/HTTQvn6MUvwYo4GIMIGFMA4GA1UdDwEB/wQE\nAwIFoDAdBgNVHSUEFjAUBggrBgEFBQcDAQYIKwYBBQUHAwIwDAYDVR0TAQH/BAIw\nADAdBgNVHQ4EFgQUINBCrYV0lWu5/hfpQDc546Aa+A8wJwYDVR0RBCAwHoILZXhh\nbXBsZS5uZXSCD3d3dy5leGFtcGxlLm5ldDAKBggqhkjOPQQDAgNJADBGAiEA6xhq\nTljHWnMyNeNoKm7WN+kCTJ8Wqu7sb6eXUuJFWBsCIQDZVCA3whsPrMu5Makd08jO\ng+HJeUfRxmf+pSXHUz27vQ==\n-----END CERTIFICATE-----\n","csr":"-----BEGIN CERTIFICATE REQUEST-----\nMIIBPTCB5AIBADBIMQswCQYDVQQGEwJVUzELMAkGA1UECBMCQ0ExFjAUBgNVBAcT\nDVNhbiBGcmFuY2lzY28xFDASBgNVBAMTC2V4YW1wbGUubmV0MFkwEwYHKoZIzj0C\nAQYIKoZIzj0DAQcDQgAES2Ur49Oip+kKXSlEwgpgXcV8fRp8S7JO+L9XyzhHqES/\nZQnoiT9wiiY5gEBbjrOaSYqkqt4X/x000L5+jFL8GKA6MDgGCSqGSIb3DQEJDjEr\nMCkwJwYDVR0RBCAwHoILZXhhbXBsZS5uZXSCD3d3dy5leGFtcGxlLm5ldDAKBggq\nhkjOPQQDAgNIADBFAiEAuCoWMfVlFGcJc7Lcaf7TJ8UAfB/SqN0L2tS1xmqNvXkC\nIDp4jfmQQUMtOn1wuzlk9PmPcquR9QmOghZzAtQn1MiX\n-----END CERTIFICATE REQUEST-----\n","key":"-----BEGIN EC PRIVATE KEY-----\nMHcCAQEEIFqsPN7eccI9UtjB7ZuZdcpe4tygw3ch4jkDGcrQbs2WoAoGCCqGSM49\nAwEHoUQDQgAES2Ur49Oip+kKXSlEwgpgXcV8fRp8S7JO+L9XyzhHqES/ZQnoiT9w\niiY5gEBbjrOaSYqkqt4X/x000L5+jFL8GA==\n-----END EC PRIVATE KEY-----\n"}
[root@master01 cfssl]#  /opt/kubernetes/bin/cfssl gencert  -ca="./ca.pem"  -ca-key="./ca-key.pem"  ca-csr.json | /opt/kubernetes/bin/cfssljson -bare  hello
2023/07/19 07:57:29 [INFO] generate received request
2023/07/19 07:57:29 [INFO] received CSR
2023/07/19 07:57:29 [INFO] generating key: ecdsa-256
2023/07/19 07:57:29 [INFO] encoded CSR
2023/07/19 07:57:29 [INFO] signed certificate with serial number 107459120904190039137506409066319320594339587273
[root@master01 cfssl]# ls -l hello*
-rw-r--r--. 1 root root 505 Jul 19 07:57 hello.csr
-rw-------. 1 root root 227 Jul 19 07:57 hello-key.pem
-rw-r--r--. 1 root root 794 Jul 19 07:57 hello.pem
[root@master01 cfssl]#

2、 /opt/kubernetes/bin/cfssl gencert -ca=“./ca.pem” -ca-key=“./ca-key.pem” ca-csr.json | /opt/kubernetes/bin/cfssljson -bare hello - 与上述含义一样 - 代表从stdout中读取信息

3、 /opt/kubernetes/bin/cfssljson -bare -f hello.json hello 使用 -f 选项指定文件名

[root@master01 cfssl]# rm -f  hello*
[root@master01 cfssl]#  /opt/kubernetes/bin/cfssl gencert  -ca="./ca.pem"  -ca-key="./ca-key.pem"  ca-csr.json > hello.json
2023/07/19 08:00:40 [INFO] generate received request
2023/07/19 08:00:40 [INFO] received CSR
2023/07/19 08:00:40 [INFO] generating key: ecdsa-256
2023/07/19 08:00:40 [INFO] encoded CSR
2023/07/19 08:00:40 [INFO] signed certificate with serial number 275536114753805388111350921490052209373866118965
[root@master01 cfssl]# cat hello.json 
{"cert":"-----BEGIN CERTIFICATE-----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\noV9DylArX4fTafSSBAAn\n-----END CERTIFICATE-----\n","csr":"-----BEGIN CERTIFICATE REQUEST-----\nMIIBPDCB5AIBADBIMQswCQYDVQQGEwJVUzELMAkGA1UECBMCQ0ExFjAUBgNVBAcT\nDVNhbiBGcmFuY2lzY28xFDASBgNVBAMTC2V4YW1wbGUubmV0MFkwEwYHKoZIzj0C\nAQYIKoZIzj0DAQcDQgAEqRxPIJnz8TE+onkWj7Hp4R2BBlkBNYxGrJ9D7YXx6xj5\nMMhH6CtrnKZsVko4ZvXcb7ORUYzeucmlXEVrG6sxGKA6MDgGCSqGSIb3DQEJDjEr\nMCkwJwYDVR0RBCAwHoILZXhhbXBsZS5uZXSCD3d3dy5leGFtcGxlLm5ldDAKBggq\nhkjOPQQDAgNHADBEAiBoizyvmdvUuQQdhZQXiigu60mpUg8sMrsT/X9+BkBKxAIg\nTPR9UJy/BaxDDLQvZfRZJ8CyShiqLyf2mw9muYt3giE=\n-----END CERTIFICATE REQUEST-----\n","key":"-----BEGIN EC PRIVATE KEY-----\nMHcCAQEEILpDMDqmqjaFuuf8QSV5yUiqfqdHvzonMpSIne8ABugjoAoGCCqGSM49\nAwEHoUQDQgAEqRxPIJnz8TE+onkWj7Hp4R2BBlkBNYxGrJ9D7YXx6xj5MMhH6Ctr\nnKZsVko4ZvXcb7ORUYzeucmlXEVrG6sxGA==\n-----END EC PRIVATE KEY-----\n"}
[root@master01 cfssl]#  /opt/kubernetes/bin/cfssljson -bare -f hello.json  hello 
[root@master01 cfssl]# ls -l hello*
-rw-r--r--. 1 root root  505 Jul 19 08:01 hello.csr
-rw-r--r--. 1 root root 1580 Jul 19 08:00 hello.json
-rw-------. 1 root root  227 Jul 19 08:01 hello-key.pem
-rw-r--r--. 1 root root  790 Jul 19 08:01 hello.pem
[root@master01 cfssl]#

4、-bare选项 -bare选项一定要加上,否则会报错

[root@master01 cfssl]#  /opt/kubernetes/bin/cfssljson  -f hello.json  hello 
Request failed:
[root@master01 cfssl]#  /opt/kubernetes/bin/cfssljson -bare  -f hello.json  hello 
[root@master01 cfssl]#

具体含义详见 create a new csr

husterlichf
关注
专栏目录
K8S二进制部署详解,一文教会你部署高可用K8S集群
景天科技苑
02-07 4084
虽然kubeadm方式搭建K8S比较简单,但是对里面的原理都不清楚的话,生产中使用功能可能不便于排查故障。二进制方式部署的k8s集群比较稳定。 二进制方式搭建:在官网下载相关组件的二进制包,如果手动安装,对kubernetes理解也会更全面。 Kubeadm和二进制都适合生产环境,在生产环境运行都很稳定,具体如何选择,可以根据实际项目进行评估。
【实战加详解】二进制部署k8s高可用集群系列教程八 - 部署 kube-controller
JohnYang's CSDN Home
10-12 590
实战加详解 - 完美解决二进制部署k8s高可用集群中ssl证书以及TLS Bootstrap机制的问题
cfsslcfssl-certinfo、cfssljson linux库
07-17
cfssl_linux-amd64 cfssl-certinfo_linux-amd64 cfssljson_linux-amd64
cfssl简单使用
最新发布
janthinasnail的博客
01-19 1706
CA根证书配置文件,一般命名为ca-config.json,它用于配置根证书的使用场景 (profile) 和具体参数 (usage,过期时间、服务端认证、客户端认证、加密等),后续在签名其它证书时需要指定特定场景 (profile)。查看某个命令使用:cfssl [command] -help,其中[command]为某个命令名称。2) CA根证书及其私钥创建过程不需要甚至该字段。生成自签名根 CA 证书和私钥。生成证书签名请求和私钥。生成 CA 秘钥文件(目标证书签名请求文件。
通过cfssl自签证书https证书
少说多做
02-24 1181
通过cfssl自签https证书并配置本地受信
6.k8s主控节点-部署etcd
sirius
05-25 410
supervisor cfssl etcd k8s主控节点-部署etcd 一、准备集群证书 (证书环境参考4.证书环境章节) 准备ca-config.json 技巧:cfssl print-defaults config能够打印配置文件模板作参考 vi /etc/certs/ca-config.json { "signing": { "default": { "expiry": "175200h" }, "profiles".
5-1 Velero 备份 Kubernetes 详解
qq_25874461的博客
03-12 232
详细介绍 Velero 工具的原理和使用方法,并备份单个 namespace 示例
【实战加详解】二进制部署k8s高可用集群教程系列十二 - 部署kube-proxy
JohnYang's CSDN Home
10-13 773
实战加详解 - 完美解决二进制部署k8s高可用集群中ssl证书以及TLS Bootstrap机制的问题
【实战加详解】二进制部署k8s高可用集群教程系列九 -部署 scheduler
JohnYang's CSDN Home
10-12 334
实战加详解 - 完美解决二进制部署k8s高可用集群中ssl证书以及TLS Bootstrap机制的问题
二进制源码包:cfss_linux-amd64、cfssl-certinfo_linux-amd64、cfssljson_linux-amd64
11-18
二进制安装方式: 解压后: chmod a+x cfssl* mv cfssl_linux-amd64 /usr/local/bin/cfssl mv cfssljson_linux-amd64 /usr/local/bin/cfssljson mv cfssl-certinfo_linux-amd64 /usr/local/bin/cfssl-certinfo export PATH=/usr/local/bin:$PATH
CFSSL使用方法重新整理说明
weixin_34102807的博客
06-11 7004
CFSSL是CloudFlare的PKI / TLS瑞士×××。它既是命令行工具,也是用于签名,验证和捆绑TLS证书的HTTP API服务器.1.下载安装CFSSL(用于签名,验证和捆绑TLS证书的HTTP API工具)(master节点)wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64wget https://pkg.cfssl...
SSL证书详解CFSSL工具使用
江晓龙的博客
05-01 4381
SSL证书详解CFSSL工具使用 1.公钥基础设施PKI基础概念 CA(Certification Authority)证书,指的是权威机构给我们颁发的证书。 密钥就是用来加解密用的文件或者字符串。密钥在非对称加密的领域里,指的是私钥和公钥,他们总是成对出现,其主要作用是加密和解密。常用的加密强度是2048bit。 RSA即非对称加密算法。非对称加密有两个不一样的密码,一个叫私钥,另一个叫公钥,用其中一个加密的数据只能用另一个密码解开,用自己的都解不了,也就是说用公钥加密的数据只能由私钥解开。 证书的编码
证书工具+网络插件介绍
因上努力,果上随缘。但行好事,莫问前程。
04-29 3383
1.1、证书工具介绍 证书制作工具:openssl;cfssl;keytool;makecert 问题1:啥叫HTTPS? 场景:我是小明想和小红聊骚,但又怕别人听见。于是我们就各自制作了一个一对儿密钥。因为担心被别人瞅见(害羞),因此就约定暴露自己的公钥。然对方用自己的私钥加密聊天内容。这样就实现了加密只要私钥不丢失不被人看见了。然后这个策略被小刚和小雨复用了,他俩也准备学习,生成了密钥。但是不巧的是被小黑发现了。小黑自己制作了一套密钥。然后发给小刚说他是小雨,发给小雨说他是小刚。小刚和小雨因此就
服务端统一生成证书,下发到各类部署节点
国产-达芬奇
12-31 703
assk-server服务端统一生成证书,下发到各类部署节点(Master Node、System Node、Etcd Node、Node) 0 思路 assk-service将cfssl证书生成工具,和证书生成的配置文件集成到镜像中,部署Master Node时首先判断证书文件是否存在,存在则校验证书、不存在则通过命令生成证书文件,并保存到kube_certificate;生成token保存到kube_master assk-server服务docker目录下新增两个文件夹 1.配置文件准备,ca目录下
关于CFSSL没能生成CA证书和私钥的问题
Joseph_Sun的博客
03-02 3148
开始我使用curl下载cfssl的二进制文件:curl -s -L -o cfssl https://pkg.cfssl.org/R1.2/cfssl_linux-amd64curl -s -L -o cfssljson https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64curl -s -L -o cfssl-certinfo https://pkg....
公钥基础设施(PKI)/CFSSL证书生成工具的使用
weixin_34123613的博客
05-26 413
公钥基础设施(PKI)基础概念CA(Certification Authority)证书,指的是权威机构给我们颁发的证书。密钥就是用来加解密用的文件或者字符串。密钥在非对称加密的领域里,指的是私钥和公钥,他们总是成对出现,其主要作用是加密和解密。常用的加密强度是2048bit。RSA即非对称加密算法。非对称加密有两个不一样的密码,一个叫私钥,另一个叫公钥,用其中一个加密的数据...
kubernetes1.6 安装之证书(一)
柳清风的专栏
05-02 4293
安装kubernetes最麻烦的地方应该就是证书的认证,由于kubernetes1.6后加的RBAC,使得配置更加麻烦了,先是制作证书,如果你对openssl或者easyrsa熟悉的话,同理可以替换,先安装cfsslwget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 chmod +x cfssl_linux-amd64 sudo mv cfssl_li
etcd 集群部署+SSL(yum)
杨仕虎的博客
12-29 1332
关闭防火墙和SELINUX systemctl stop firewalld systemctl disable firewalld sed -i 's/#SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config 安装etcd etcd10 vi /etc/etcd/etcd.conf #[Member] ETCD_DATA_DIR="/var/lib/etcd/etcd10.etcd" #数据目录 ETCD_WAL_DIR="/var/l
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值