openssl命令查看证书有效期_k8s踩坑记录——证书一年有效期

最新推荐文章于 2024-06-13 16:07:06 发布
最新推荐文章于 2024-06-13 16:07:06 发布
阅读量1.3k 收藏
点赞数
文章标签: openssl命令查看证书有效期
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_28892727/article/details/112991300
版权

[[email protected] pki]# cat csr.conf

[ req ]

default_bits = 2048

prompt = no

default_md = sha256

req_extensions = req_ext

distinguished_name = dn

[ dn ]

C = CN

ST = BeiJing

L = BeiJing

O = k8s

OU = System

CN = kubernetes

[ req_ext ]

subjectAltName = @alt_names

[ alt_names ]

DNS.1 = kubernetes

DNS.2 = kubernetes.default

DNS.3 = kubernetes.default.svc

DNS.4 = kubernetes.default.svc.cluster

DNS.5 = kubernetes.default.svc.cluster.local

DNS.6 = k8s-master01

DNS.7 = k8s-master02

DNS.8 = k8s-master03

IP.1 = 10.96.0.1

IP.2 = 100.82.200.190

IP.3 = 100.82.200.184

IP.4 = 100.82.200.187

IP.5 = 100.82.200.194

IP.6 = 10.220.8.184

IP.7 = 10.220.8.187

IP.8 = 10.220.8.190

IP.9 = 10.220.8.194

[ v3_ext ]

authorityKeyIdentifier=keyid,issuer:always

basicConstraints=CA:FALSE

keyUsage=digitalSignature,nonRepudiation,keyEncipherment,dataEncipherment

extendedKeyUsage=serverAuth,clientAuth

[email protected]_names

openssl genrsa -out apiserver.key 2048

openssl req -new -key apiserver.key -out apiserver.csr -config csr.conf

openssl x509 -req -in apiserver.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out apiserver.crt -days 10000 -extensions v3_ext -extfile csr.conf

openssl x509 -noout -text -in ./apiserver.crt |grep "Not"

openssl genrsa -out apiserver-kubelet-client.key 2048

openssl req -new -key apiserver-kubelet-client.key -out apiserver-kubelet-client.csr -config csr.conf

openssl x509 -req -in apiserver-kubelet-client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out apiserver-kubelet-client.crt -days 10000 -extensions v3_ext -extfile csr.conf

openssl x509 -noout -text -in ./apiserver-kubelet-client.crt |grep "Not"

openssl genrsa -out front-proxy-client.key 2048

openssl req -new -key front-proxy-client.key -out front-proxy-client.csr -config csr.conf

openssl x509 -req -in front-proxy-client.csr -CA front-proxy-ca.crt -CAkey front-proxy-ca.key -CAcreateserial -out front-proxy-client.crt -days 10000 -extensions v3_ext -extfile csr.conf

openssl x509 -noout -text -in ./front-proxy-client.crt |grep "Not"

kubeadm alpha phase certs all --config kubeadm-config.yaml

kubeadm alpha phase kubelet config write-to-disk --config kubeadm-config.yaml

kubeadm alpha phase kubelet write-env-file --config kubeadm-config.yaml

kubeadm alpha phase kubeconfig kubelet --config kubeadm-config.yaml

kubeadm alpha phase kubeconfig all --config kubeadm-config.yaml

kubeadm alpha phase controlplane all --config kubeadm-config.yaml

systemctl restart kubelet

kubeadm alpha phase mark-master --config kubeadm-config.yaml

cp /etc/kubernetes/admin.conf ~/.kube/config

重启集群后,执行kubelet logs pods XXXX -n kube-system报错如下:Error from server (Forbidden): Forbidden (user=kubernetes, verb=get, resource=nodes, subresource=proxy) ( pods/log kube-scheduler-k8s-master01)

解决方案:kubectl create clusterrolebinding system:kubernetes --clusterrole=cluster-admin --user=system:kubernetes

原文:https://blog.51cto.com/strongit/2407732

李子骅 luin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
openssl命令查看证书有效期_使用OpenSSL来检查SSL证书过期的方法
weixin_39980002的博客
12-19 1万+
对于Linux和Unix用户,你可能需要检查系统上的本地SSL证书文件是否过期,OpenSSL附带一个SSL/TLS客户端,可用于建立与使用SSL证书保护的服务器的透明连接,或直接调用证书文件。本文将讨论如何使用openssl命令检查.p12的过期并启动.crt证书文件,参考openssl命令_Linux openssl命令使用详解:强大的安全套接字层密码库。具体方法下面的示例演示了如何使用ope...
openssl命令查看证书有效期_kubeadm初始化k8s集群延长证书过期时间
weixin_32558527的博客
02-02 2960
前言kubeadm初始化k8s集群,签发的CA证书有效期默认是10年,签发的apiserver证书有效期默认是1年,到期之后请求apiserver会报错,使用openssl命令查询相关证书是否到期。以下延长证书过期的方法适合kubernetes1.14、1.15、1.16、1.17、1.18版本查看证书有效时间openssl x509 -in /etc/kubernetes/pki/ca.crt ...
k8skubelet证书时间过期升级
最新发布
red_sky_blue的专栏
06-13 609
k8s 证书过期,kubeadm方式更新证书
openssl查看SSL证书的有效时间
忍法阡陌的博客
02-29 1001
有收到需求查看某SSL证书的有效时间区间,手头有对应的SSL证书,SSL的证书文件后缀为cer/pem/crt等都不打紧,都一样处理。
使用 openssl 生成证书
huang714的专栏
10-15 1169
一、openssl 简介 openssl 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件,用以支持SSL/TLS 协议的实现。 官网:https://www.openssl.org/source/ 构成部分 密码算法库 密钥和证书封装管理功能 SSL通信API接口 用途 建立 RSA、DH、DSA key 参数 建立 X.509 证书证书签名请求(CSR)和CRLs(证书回收列表) 计算消息摘要 使用各种 Cipher加密/解密 SSL/TLS 客户端以
openssl 查看证书过期时间
Xxcsdn1的博客
01-17 915
【代码】openssl 查看证书过期时间。
linux-openssl命令生成自签名证书查看证书到期时间
qq522044637的博客
11-11 6284
创建自签名证书查看证书过期时间。
K8S主机Prometheus监控ssl证书资源清单及镜像文件
01-14
监控SSL证书的状态,如有效期、签名算法等,可以预防由于证书过期或不安全导致的服务中断。 Prometheus监控SSL证书通常涉及以下几个步骤: 1. **配置Exporter**:`prometheus-ssl-exporter`是一个Prometheus ...
openssl_gmssl命令生成证书.txt
01-21
包含OpenSSL和GMSSL生成证书命令,RSA证书和SM2证书的生成方式
ssl.tar.gz_python openssl_证书_证书验证
09-24
2. **创建证书请求**: `openssl req`命令用于生成证书签名请求(CSR),包括服务器的信息,如:`openssl req -new -key server.key -out server.csr`。 3. **创建自签名证书**: 使用`openssl x509`命令,用CSR和私钥...
CA.zip_certificates_openssl 证书_数字证书
09-24
2. 生成证书请求:使用`openssl req`命令创建一个证书签名请求(CSR),包含公共信息和公钥。 3. 签发证书:如果作为CA,可以使用`openssl x509`命令对CSR进行签名,生成证书。 4. 非自签名:若不是CA,可以将CSR...
ca.rar_CA_ca派发自宿主_ca证书_openssl CISOCA_证书
09-22
在标签中,"openssl_cisoca"可能是对"openssl CISOCA"的另一种表示,强调了OpenSSL库在CA操作中的使用。"证书"则明确了讨论的主题是关于数字证书的。 在压缩包内的文件名列表中,"www.pudn.com.txt"可能是一个文本...
K8S集群证书
core815的专栏
11-03 446
地址:https://github.com/yuyicai/update-kube-cert 说明:K8s集群证书过期处理,更新kubeadm生成的证书有效期为10年。针对旧版集群(小于v1.15),当然大于等于v1.15也是可以用这个脚本更新,新版可直接kubeadm alpha certs renew <cert_name>更新 (deal with K8s cluster certificate expired) ...
java读取pem格式私钥_SSL证书格式转换方法
weixin_39846898的博客
12-02 2601
使用openssl工具与java jdk工具进行格式转换。一、DER转换为PEMDER格式通常使用在Java平台中。1、运行以下命令进行证书转化:openssl x509 -inform der -in certificate.cer -out certificate.pem运行以下命令进行私钥转化:openssl rsa -inform DER -outform PEM -in private...
k8s集群证书有效期修改
xhredeem的博客
01-16 3017
kubeadm 部署k8s集群证书有效期修改
openssl详解
王宁的博客
06-04 2万+
OpenSSL简介 目录 目录 第一章 前言 第二章 证书 第三章 加密算法 第四章 协议 第五章 入门 第六章 指令 verify 第七章 指令asn1parse 第八章 指令CA(一) 第九章 指令CA(二) 第十章 指令cipher 第十一章 指令dgst 第十二章 指令dhparam 第十三章 指令dsa 第十四章 指令dsaparam 第十五章 指令en
kubernetes 1.11.3 使用kubeadm安装步骤
不懂的博客
10-30 623
写在前头 本文让有意向使用原生 kubernetes 集群的企业或个人,可以方便的、系统的使用 kubeadm 的方式搭建 kubernetes 高可用集群。并且让相关的人员可 以更好的理解kubernetes集群的运作机制。 集群部署过程严格按照官方文档的流程 非科学上网的同学同样适用 PS: 本文对应的视频教程和更多的k8s内容移步慕课网实战课 -> 《Kubernetes 生产级实践指...
k8s(三)、kubeadm证书/etcd证书过期处理
热门推荐
ywq935的博客
03-08 2万+
故障现象 使用kubeadm部署的集群,在运行了一年之后今天,出现k8s api无法调取的现象,使用kubectl命令获取资源均返回如下报错: Unable to connect to the server: x509: certificate has expired or is not yet valid 故障排查 查看apiserver.crt证书的签署日期和过期日期: root@9027:...
k8s集群证书过期
Dang_Ni的博客
02-21 1319
k8s集群证书过期
openssl 验证 私钥 证书 openssl s_server -msg -verify
07-14
### 回答1: OpenSSL是一个开源的加密工具包,可以用于验证私钥证书。 在命令行中,使用openssl s_server -msg -verify命令可以执行验证私钥证书的操作。 -msg参数可以指定在连接中发送和接收的消息。 -verify参数用于启用验证模式。 在执行该命令时,OpenSSL会作为服务器运行,等待客户端连接。然后,OpenSSL会将所收到的消息打印出来。在验证模式下,OpenSSL会尝试验证客户端发送的证书。 在验证过程中,OpenSSL会使用传入的私钥和证书进行验证。私钥用于解密证书中的数字签名,并与证书中的公钥进行比对,以验证证书的真实性和完整性。 如果验证成功,OpenSSL会打印出相关验证信息。如果验证失败,OpenSSL会显示相应的错误信息,指示证书存在问题或不是一个有效的证书。 通过使用openssl s_server -msg -verify命令,我们可以方便地验证私钥证书,以确保其有效性和安全性。 需要注意的是,验证私钥证书需要在合适的环境中进行,并且应该使用正确的私钥和证书进行验证,以确保验证的准确性和可靠性。 ### 回答2: openssl s_server -msg -verify是一条命令,用于在openssl中进行私钥证书验证。 首先,我们需要了解openssl中私钥和证书的概念。私钥是一种用于加密和解密数据的密钥,它通常由证书颁发机构(CA)生成并颁发给特定的实体。而证书是由CA签名的包含实体公钥和其他相关信息的文件,它用于验证实体的身份。 使用openssl s_server -msg -verify命令时,我们可以在服务器模式下进行私钥证书验证。这个命令会打开一个服务器,并监听指定的端口,等待客户端连接。当客户端连接之后,服务器会使用私钥和证书对收到的数据进行验证。 私钥证书验证的过程如下: 1.服务器使用私钥解密收到的数据。 2.服务器使用证书验证解密后的数据的完整性和真实性。通过计算数据的散列值以及使用证书中的公钥验证该散列值,服务器可以确定数据是否被篡改过。 3.如果数据通过了验证,服务器会对数据进行响应。 使用openssl s_server -msg -verify命令可以方便地进行私钥证书验证,同时可以通过命令行参数调整验证的具体设置。这对于建立安全的网络连接和验证实体身份非常有用。 需要注意的是,私钥和证书的安全性非常重要。私钥应该保密且仅由合法的实体使用,证书应该由可信的CA签发。同时,定期更新证书和私钥也是很重要的安全措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值