k3s证书过期的处理 以及 修改k3s证书有效期为10年(或自定义时间)

已于 2023-09-18 18:34:56 修改
阅读量4.8k 收藏 8
点赞数 1
分类专栏: 随笔 文章标签: kubernetes
于 2022-04-24 18:52:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangxi83/article/details/124389172
版权

1、常规操作

由于k3s证书的默认过期时间是12个月,因此到期之前或不小心到期,需要轮换

其实官网有明确的说明以及处理办法——但是你会发现按照官方处理办法,基本上无法生效

这里给一个一定可行的办法

# 在其中一个节点上执行
k3s kubectl --insecure-skip-tls-verify=true delete secret k3s-serving -n kube-system

# 在每个节点上执行
rm -rf /var/lib/rancher/k3s/server/tls/dynamic-cert.json
systemctl restart k3s

以上的关键点就是 --insecure-skip-tls-verify=true

重点来了

2、黑科技:改证书时间为10年(或自定义时间)

上面的办法虽好,但是生产环境我们肯定不愿意每年都去搞一次,如何做?

我们知道,每一个证书,是有根证书签发的,k3s服务证书,有自己的根证书
因此,我们只需要
1、找到k3s的根证书
2、设置正确的信任域和IP,设置你想要的时间,然后用来签发一个新的证书
3、替换现有的k3s证书
就可以达到效果

说了一堆废话,这里给出最终办法(由于大家都会用rancher,我这里就以操作rancher来说明了,没有rancher,通过kubectl命令也可以完成操作,具体我就不写了,自行思考)

详细步骤:

  1. 进入rancher,找到集群->system->证书列表->k3s-serving
  2. 点开k3s-serving,拷贝域名中的所有内容做准备
  3. 使用本文最后的shell脚本,拷贝到服务器上执行该脚本。其中参数要注意
    –ssl-domain,需要指定为’k3s’。脚本默认值已经设定好了
    –ssl-trusted-domain,【【【需要指定为第二步拷贝的内容中,除了k3s的所有域名】】】
    –ssl-trusted-ip,【【【需要指定为第二步拷贝的内容中的所有ip】】】


    样例参考为:./mktls.sh --ssl-domain=k3s --ssl-trusted-domain=kubernetes,kubernetes.default,kubernetes.default.svc,kubernetes.default.svc.cluster.local,localhost --ssl-trusted-ip=10.43.0.1,127.0.0.1,172.16.148.200,172.16.148.201,172.16.148.203,172.16.148.204 --ssl-size=2048 --ssl-date=3650 --k3s-server-ca-key=./CA.key --k3s-server-ca=./CA.crt
    样例中我专门指定了–k3s-server-ca-key和–k3s-server-ca(其默认值在脚本中有描述),其实想说的是,我们把k3s的根证书和key内容拷贝出来到任何地方都可以执行
  4. 在rancher中编辑k3s-serving,用第三步生成的key和crt内容,更新对应的内容即可

至此,就完成了证书更新,妈妈再也不用担心k3s过期了




附上详细步骤中所述的脚本
拷贝到机器上,chmod +x 之后执行即可


#!/bin/bash -e

# 用于制作k3s的服务证书。默认情况下,k3s证书一年内过期
# 通过官方说法,可以通过删除 `k3s-serving`这个密文
# 以及删除主机的/var/lib/rancher/k3s/server/tls/dynamic-cert.json文件
# 之后,重启k3s服务可以达到轮换证书的目标
# 但是这样太麻烦,这里提供的就是根据k3s的根证书制作一个新的证书,时间可自定义
# 然后把这个证书的key和crt在rancher界面上更换`k3s-serving`这个密文内容即可

help ()
{
    echo  ' ================================================================ '
    echo  ' --ssl-domain: 生成ssl证书需要的主域名,如不指定则默认为www.rancher.local,如果是ip访问服务,则可忽略;'
    echo  ' --ssl-trusted-ip: 一般ssl证书只信任域名的访问请求,有时候需要使用ip去访问server,那么需要给ssl证书添加扩展IP,多个IP用逗号隔开;'
    echo  ' --ssl-trusted-domain: 如果想多个域名访问,则添加扩展域名(SSL_TRUSTED_DOMAIN),多个扩展域名用逗号隔开;'
    echo  ' --ssl-size: ssl加密位数,默认2048;'
    echo  ' --ssl-cn: 国家代码(2个字母的代号),默认CN;'
    echo  ' --ssl-date: 有效天数;'
    echo  ' --k3s-server-ca-key: k3s根证书的key。默认在/var/lib/rancher/k3s/server/tls/server-ca.key'
    echo  ' --k3s-server-ca: k3s根证书。默认在/var/lib/rancher/k3s/server/tls/server-ca.crt'
    echo  ' 使用示例:'
    echo  ' ./k3s-update-server-cert.sh --ssl-domain=www.test.com --ssl-trusted-domain=www.test2.com \ '
    echo  ' --ssl-trusted-ip=1.1.1.1,2.2.2.2,3.3.3.3 --ssl-size=2048 --ssl-date=3650 --k3s-server-ca-key=./CAK.key --k3s-server-ca=./CA.crt'
    echo  ' ================================================================'
}

case "$1" in
    -h|--help) help; exit;;
esac

if [[ $1 == '' ]];then
    help;
    exit;
fi

CMDOPTS="$*"
for OPTS in $CMDOPTS;
do
    key=$(echo ${OPTS} | awk -F"=" '{print $1}' )
    value=$(echo ${OPTS} | awk -F"=" '{print $2}' )
    case "$key" in
        --ssl-domain) SSL_DOMAIN=$value ;;
        --ssl-trusted-ip) SSL_TRUSTED_IP=$value ;;
        --ssl-trusted-domain) SSL_TRUSTED_DOMAIN=$value ;;
        --ssl-size) SSL_SIZE=$value ;;
        --ssl-date) SSL_DATE=$value ;;
        --ca-date) CA_DATE=$value ;;
        --ssl-cn) CN=$value ;;
        --k3s-server-ca-key) CA_KEY=$value ;;
        --k3s-server-ca) CA_CERT=$value ;;
    esac
done

# CA相关配置
CA_DATE=${CA_DATE:-3650}
CA_DOMAIN=${CA_DOMAIN:-'k3s'}
CA_KEY=${CA_KEY:-'/var/lib/rancher/k3s/server/tls/server-ca.key'}
CA_CERT=${CA_CERT:-'/var/lib/rancher/k3s/server/tls/server-ca.crt'}

# ssl相关配置
SSL_CONFIG=${SSL_CONFIG:-$PWD/openssl.cnf}
SSL_DOMAIN=${SSL_DOMAIN:-'www.rancher.local'}
SSL_DATE=${SSL_DATE:-3650}
SSL_SIZE=${SSL_SIZE:-2048}

## 国家代码(2个字母的代号),默认CN;
CN=${CN:-CN}

SSL_KEY=$SSL_DOMAIN.key
SSL_CSR=$SSL_DOMAIN.csr
SSL_CERT=$SSL_DOMAIN.crt

echo -e "\033[32m ---------------------------- \033[0m"
echo -e "\033[32m       | 生成 K3S 证书 |      \033[0m"
echo -e "\033[32m ---------------------------- \033[0m"


echo -e "\033[32m ====> 1. 生成Openssl配置文件 ${SSL_CONFIG} \033[0m"
cat > ${SSL_CONFIG} <<-EOF
[req]
req_extensions = v3_req
distinguished_name = req_distinguished_name
[req_distinguished_name]
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = clientAuth, serverAuth
EOF

if [[ -n ${SSL_TRUSTED_IP} || -n ${SSL_TRUSTED_DOMAIN} ]]; then
    cat >> ${SSL_CONFIG} <<-EOF
subjectAltName = @alt_names
[alt_names]
EOF
    IFS=","
    dns=(${SSL_TRUSTED_DOMAIN})
    dns+=(${SSL_DOMAIN})
    for i in "${!dns[@]}"; do
      echo DNS.$((i+1)) = ${dns[$i]} >> ${SSL_CONFIG}
    done

    if [[ -n ${SSL_TRUSTED_IP} ]]; then
        ip=(${SSL_TRUSTED_IP})
        for i in "${!ip[@]}"; do
          echo IP.$((i+1)) = ${ip[$i]} >> ${SSL_CONFIG}
        done
    fi
fi

echo -e "\033[32m ====> 2. 生成SSL KEY ${SSL_KEY} \033[0m"
openssl genrsa -out ${SSL_KEY} ${SSL_SIZE}

echo -e "\033[32m ====> 3. 生成SSL CSR ${SSL_CSR} \033[0m"
openssl req -sha256 -new -key ${SSL_KEY} -out ${SSL_CSR} -subj "/C=${CN}/CN=${SSL_DOMAIN}" -config ${SSL_CONFIG}

echo -e "\033[32m ====> 4. 生成服务SSL CERT ${SSL_CERT} \033[0m"
openssl x509 -sha256 -req -in ${SSL_CSR} -CA ${CA_CERT} -CAkey ${CA_KEY} -CAcreateserial -out ${SSL_CERT} -days ${SSL_DATE} -extensions v3_req -extfile ${SSL_CONFIG}

近期补充

很多同学问,为什么不成功呢。
这里有太多因素,毕竟是个开源体系。

补充一下我们的环境:rancher(2.4.10),k3s(1.18)

然后呢,RKE是不行的哦,因为它管理方式不同(说不行,其实是找对了kubernetes管理的几个证书也是可以的),要使用独立安装的方式,才会看到文章所述内容。

附一张图:
在这里插入图片描述

sb熙哥
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
k3s 1.29 最新离线包
02-03
k3s 1.29 最新离线包】是一个专为x86架构设计的Kubernetes轻量级发行版,适用于那些无法或不希望连接到互联网进行在线安装的环境。K3s是由Rancher Labs开发的,旨在简化在边缘计算、物联网(IoT)设备以及对资源需求...
k3s-ansible:Ansible手册,用于部署k3s kubernetes集群
01-31
k3s-ansible:Ansible手册,用于部署k3s kubernetes集群】 在现代云计算环境中,Kubernetes(简称k8s)已经成为容器编排的事实标准,它允许开发者轻松管理和扩展容器化的应用。k3s是Rancher Labs推出的一个轻量级...
linux证书过期,k3s 证书过期解决方法
weixin_33219985的博客
05-15 782
测试发现k3s使用一后出现https tls hand error的问题,重新生成证书也不行,只能通过源码编译修重新安装k3s环境: ubuntu 16.04docker 18.06.3一、安装git(默认应该已经安装如果没有请执行下面的命令)sudo apt install -y git二、clone源码,并切换分支(我这里用的是v1.0.1的版本)git clone https://gith...
k3s生成新证书,解决unable to connect to the server: x509: certificate is valid for xx.xx.xx.xx的问题
最新发布
qq_37325838的博客
07-24 212
最近在使用阿里云流水线发布应用的时,发现 k3s 默认的证书仅针对所在服务器的内网有效,在流水线添加集群的时候会报错。
k3s证书过期解决方法(终极解决-超级简单)
qq_41190902的博客
11-09 3066
官方文档说是到期前1个月重启会轮换,并且到期后不能再访问,因此要争取到到期前一个月,服务器要重启,网上有两种解决方案方案1 是手动设置到期时间,删掉相关CA文件,重启后,更新证书方案2 直接编写sh,重新生产自定义时间证书,替换。
k3s证书过期问题处理
MichaelZ的博客
03-17 513
k3s证书逻辑: k3s证书有效期默认是1,如果证书已经过期或剩余的时间不足90天,则在重启k3s时就会自动轮转证书。但在之前的版本中,由于BUG(),会导致k3s重启无法自动轮转证书,此时则需要手动轮转证书
k3s-安装、卸载、证书过期x509
撂爪就忘的博客
01-02 1250
k3s-安装、卸载、证书过期x509
k3s证书过期傻瓜式解决方法 新版 100过期
panyuwuyanzu的博客
02-22 563
【代码】k3s证书过期傻瓜式解决方法 新版 100过期
K3S 证书有效期和续签问题
代码搬运工
04-18 433
K3s 客户端和服务器证书自颁发日起 365 天内有效。每次启动 K3s 时,已过期或 90 天内过期证书都会自动更新。:90天内过期证书可以通过重启k3s没问题,已过期不行,所以已过期的需要手动处理
RancherCNDocsPDF_K3s.pdf
10-06
**命名由来**:K3s的名称来源于Kubernetes的简写K8s(10个字母中的8个),K3s则代表了其资源占用约为Kubernetes的一半。 **适用场景**: - **边缘计算**:K3s在边缘计算环境中,可以处理有限的硬件资源和网络条件。...
ansible-role-k3s:Ansible角色-k3s轻量级Kubernetes-https
05-01
角色变量下面列出了可用的变量以及默认值(请参见defaults/main.yml ): k3s_state: present作用状态: present , start , stop k3s_version: 1.20.5+k3s1k3s的版本k3s_type: master节点类型master或agent k3s_...
k3s实验室
02-06
2. **配置K3s集群**:Vagrantfile会指定每个节点的角色(如master或worker),以及如何连接它们。Vagrant会自动执行必要的脚本来安装和配置K3s。 3. **验证集群状态**:一旦虚拟机启动并运行,你可以通过`vagrant ...
rancher的k3s证书过期
运维玄德公
01-16 905
现象 rancher报错日志 分析 解决思路 解决
rancher证书过期处理
weixin_39717172的博客
07-02 923
rancher证书过期 日志提示X509 报错,rancher证书过期导致 操作步骤 1、关闭ntp同步,不然时间会自动更新 timedatectl set-ntp false 2、 修改节点时间修改到未过期时间) timedatectl set-time ‘2019-01-01 00:00:00’ 3、重启容器 3、进入容器备份/var/lib/rancher/k3s/server/tls目录 4、删除/var/lib/rancher/k3s/server/tls目录下所有证书 5、重启容器 ...
k3s rancher证书过期x509
天津托的博客
06-13 612
rancher x509: certificate has expired or is not yet valid 证书过期
rancher 2.3.x 证书过期解决办法
热门推荐
www.shuaibo.wang|王帅博
11-18 1万+
原因 rancher 2.3出来有一了。 2.3内部启动了一个k3s,如果在距离证书过期前90天没重启过(重启也可能申请证书失败),在到期后容器会自动退出。 进入/var/lib/rancher/k3s/server/tls执行下面命令可以查看到期时间 for i in `ls *.crt` ;do openssl x509 -in $i -noout -dates;echo $i;done 解决方法 1.删除/var/lib/rancher/k3s/server/tls目录, 2.重启rancher-
rancher2.5.9 提示证书过期问题
千湖
09-16 1860
rancher2.5.9 证书过期,ui界面更新无效解决办法
rancher证书过期怎么办
运维@小兵的博客
12-17 5261
查看证书日期 find / -name '*client-ca.crt' -type f cd /data/docker/volumes/d5c55bbfc477cc744ec4b7ba2361c26b3bc5c814ee9e79e7205207b02d278bdd/_data/k3s/server/tls/ for i in ls /var/lib/rancher/k3s/server/tls/*.crt; do echo $i; openssl x509 -enddate -noout -in $i
k3s rancher
08-09
Rancher是一个开源的容器管理平台,而K3s是一个轻量级的Kubernetes发行版,专为边缘计算和资源受限环境而设计。您的引用中提到了一些关于安装K3s和Rancher的命令和配置选项。 根据引用中的内容,您可以使用`--set hostname`选项指定生成证书时的域名,并使用`--set replicas`选项设置Rancher部署所使用的复制数量。如果您的集群中少于3个节点,应根据实际节点数量设置。您还可以使用`--set ingress.tls.source=secret`选项将TLS证书源设置为secret。 引用中提到,您可以使用`systemctl start k3s.service`命令来启动K3s服务,并使用`systemctl status k3s.service`命令来查看K3s服务的状态。 根据引用中的内容,在Ubuntu 20.04环境中安装K3s server节点的第一步是执行一个安装脚本,并使用一些参数来指定配置选项。然后,您可以安装Helm作为第二步。 因此,对于您的问题"k3s rancher",您可以根据上述引用中的命令和配置选项来安装和配置K3s和Rancher。请确保您根据您的环境和需求进行相应的调整和配置。
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值