一、CA认证简介
1、服务端证书用于客户端验证服务器的真实性和准确性(服务端认证)
服务器端向CA机构申请服务器端证书,server-key.pem 和server.pem,该证书由ca1.pem签名。服务器端配置 server-key.pem和server.pem 这两个证书,客户端发起申请的时候需要加上ca1.pem根证书。
2、客户端证书用于服务器确认客户端的有效性和真实性(客户端认证)
客户端向CA机构申请客户端证书, client-key.pem 和client.pem,该证书由ca2.pem签名。所对应的服务器端需要配置 ca2.pem 根证书,客户端发起申请的时候需要配置 client-key.pem 和client.pem这两个证书
3、认证方式
单向认证:服务端认证 或者 客户端认证
双向认证:服务端认证 和 客户端认证同时使用
注意有的服务会既做服务端也做客户端
二、简介
在K8S架构体系中,各组件之间通过HTTP协议连接,但是HTTP协议通常是不安全的,我们一般会在此基础上加上SSL安全套接字协议,这就引出了CA认证,K8S架构中的ca认证架构图如下所示:
1、ETCD作为服务端, ETCDCTL和kube-apiserver作为其客户端; ETCD需要通过ca1根证书验证 ETCDCTL和kube-apiserver 的客户端证书&