k8s自签TLS证书

最新推荐文章于 2024-07-08 17:19:49 发布
最新推荐文章于 2024-07-08 17:19:49 发布
阅读量296 收藏
点赞数
文章标签: json 运维
原文链接:http://www.cnblogs.com/jasonboren/p/11483458.html
版权

自签TLS证书

TLS证书用于进行通信使用,k8s组件需要的证书有:

1320926-20190907222043659-1136538372.png

第一步:安装证书生成工具cfssl

在这之前需要先建立一个目录来存放安装的工具mkdir ssl,后面将安装的工具移动到各自的目录。方便管理

wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
chmod +x cfssl-certinfo_linux-amd64 cfssljson_linux-amd64 cfssl_linux-amd64 
mv cfssl_linux-amd64 /usr/local/bin/cfssl
mv cfssljson_linux-amd64 /usr/local/bin/cfssljson
mv cfssl-certinfo_linux-amd64 /usr/local/bin/cfssl-certinfo

在执行wget命令时,如果没有安装这个wget工具,会提示命令不存在。

//执行命令安装wget工具
yum install -y wget

第二步:使用cfssl -help 查看cfssl工具帮助命令

1320926-20190907222444361-1710215258.png

第三步:利用cfssl工具生成证书

生成配置文件,可以根据这个文件来进行修改以适应自己的需求

1320926-20190907222614852-1145370896.png

生成ca-config.json证书

cat << EOF | tee ca-config.json
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "kubernetes": {
         "expiry": "87600h",
         "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ]
      }
    }
  }
}
EOF

1320926-20190907232512354-89371034.png

生成csr.json文件

1320926-20190907232537414-1190175078.png

生成ca-csr.json证书文件

cfssl print-defaults csr > ca-csr.json
//修改内容为如下:
{
    "CN": "kubernetes",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "Chengdu",
            "ST": "Chengdu",
             "O": "k8s",
            "OU": "System"
        }
    ]
}

生成ca-key.pem ca.pem。

cfssl gencert -initca ca-csr.json | cfssljson -bare ca -

生成server-csr.json文件

cat << EOF | tee server-csr.json
{
    "CN": "kubernetes",
    "hosts": [
    "172.16.163.131",
    "172.16.163.130",   
    "172.16.163.129",
    "kubernetes",
    "kubernetes.default",
    "kubernetes.default.svc",
    "kubernetes.default.svc.cluster",
    "kubernetes.default.svc.cluster.local"
    ],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "Chengdu",
            "ST": "Chengdu",
            "O": "k8s",     
            "OU": "System"
        }
    ]
}
EOF

生成server.pem,server-key.pem

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes server-csr.json | cfssljson -bare server

执行以上命令时会报错

1320926-20190907232603607-1564098623.png

报错原因

1320926-20190907232619608-1092365123.png

{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "kubernetes": { //应该将ca-config.json文件的profiles改为kubernetes
         "expiry": "87600h",
         "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ]
      }
    }
  }
}

生成admin-csr.json文件

cfssl print-defaults csr > admin-csr.json

1320926-20190907232647400-186638066.png

需要将上面的admin-csr.json修改为以下:

{
    "CN": "admin",
    "hosts": [],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "Chengdu",
            "ST": "Chengdu",
            "O": "system:masters",
            "OU": "System"
        }
    ]
}

最后生成admin证书---admin-key.pem ,admin.pem

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes admin-csr.json | cfssljson -bare admin

生成代理

cfssl print-defaults csr > kube-proxy-csr.json
//将kube-proxy-csr.json修改为如下:
{
    "CN": "system:kube-proxy",
    "hosts": [],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "Chengdu",
            "ST": "Chengdu",
        "O": "k8s",
        "OU": "System"
        }
    ]
}
//生成代理证书 kube-proxy-key.pem , kube-proxy.pem
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kube-proxy-csr.json | cfssljson -bare kube-proxy

最后过滤掉pem之外的.json文件

ls | grep -v pem

使用命令ls | grep -v pem |xargs -i rm {}删除除了pem文件之外的其他文件。

到此证书就生成好了。

转载于:https://www.cnblogs.com/jasonboren/p/11483458.html

weixin_30674525
关注
k8s证书自签笔记
wujianqinjian
11-23 778
k8s 证书自签 获取组件 wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 创建一个名为TLS的文件夹,并将组件文件移动到该文件夹下,同时添加可习性权限 #创建TLS文件夹 mkdir -p ~/TLS #移动文件 mv
K8S集群tls证书管理
weixin_33905756的博客
08-31 626
在前文介绍的k8s master高可用实践方案中,需要对kube-apiserver的证书进行更新,加入VIP和从节点的IP,然后重新下发证书。回顾K8S集群整个搭建过程中,最容易让人懵圈的也就是配置证书环节,因此本文对K8S集群所用到的证书进行梳理一下。 一、根证书 ca.pem 根证书公钥文件ca-key.pem 根证书私钥文件ca.csr 证书签名请求...
k8s中使用cert-manager生成自签证书
最新发布
mengting2040的博客
07-08 302
k8s中使用cert-manager生成自签证书
k8s部署-1.自签TLS证书
a791846的博客
01-26 372
k8s自签TLS证书 组件 使用的证书 etcd ca.pem,server.pem,server-key.pem kube-apiserver ca.pem,server.pem,server-key.pem kubelet ca.pem,ca-key.pem kube-proxy ca.pem,kube-proxy.pem,kube-proxy-key.pem kubectl ca.pem,admin.pem,admin-key.pem 一、安装证书生成工具cfssl
k8s创建证书tls证书
july_young的博客
09-30 758
#创建证书 #openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout fortune-teller.key -out fortune-teller.pem -subj "/CN=*.serving.dubhe.ai/O=*.serving.dubhe.ai" #创建Secret #kubectl create secret tls fortune-teller.stack.build --cert fortune-teller.pem --k
k8s ingress-nginx 配置tls证书 https
qq_33256826的博客
01-26 746
之前一直在内网环境做项目,由于和外网隔离一直用的是 http 协议, 新项目要求用 https 协议,项目服务都部署在 k8s 中,使用 ingress-nginx 作为网关。从网上查找相关资料都是需要在 ingress 中配置 tls ,但是由于我创建的 ingress 比较多,且没有指定域名,一个一个去修改非常麻烦,而且开发人员在内网习惯使用 ip 来访问系统,一旦配置了域名,还需要开发人员去修改本地的 hosts 文件,所以我到 ingress-nginx 官网找到了解决办法。
2、k8s集群手动部署笔记之自签TLS证书
maggie_up
07-09 1852
哪些组件需要证书? 组件 需要使用的证书 etcd ca.pem server.pem server-key.pem flannel ca.pem server.pem server-key.pem kube-apiserver ca.pem server.pem server-key.pem kubelet ca.pe...
k8s往secret里导入证书_在阿里云K8S中的如何管理TLS证书
weixin_35063366的博客
12-31 542
本文介绍几种在阿里云K8S中管理TLS证书的方案。证书申请方案先看如何申请证书。cert-managercert-manager是一个集成在k8s中的工具,它可以做到自动从Let's encrypt申请证书、自动更新证书、与Ingress无缝结合。大多数情况下建议与Ingress集成的方式使用它,后面会讲。如果你仅需要签发功能,不需要和Ingress集成,则可参考Setting up Issuer...
K8S主机Prometheus监控ssl证书资源清单及镜像文件
01-14
本文将深入探讨如何利用Prometheus监控K8S主机上的SSL证书资源,并介绍一个名为`prometheus-ssl-exporter`的镜像文件,它有助于提取和暴露SSL证书的相关信息。 首先,理解SSL证书对于K8S的重要性至关重要。SSL...
K8S集群ssl证书监控ssl-exporter资源清单文件及镜像文件
01-14
`ssl-exporter`是一款专为监控SSL/TLS证书状态设计的Prometheus Exporter,它能够收集证书的过期时间、颁发者、主题等信息,并将这些指标暴露给Prometheus进行抓取,进而可以通过Grafana等可视化工具展示出来,及时...
k8s自签证书
qq_42502583的博客
03-29 2464
k8s自签证书 通过使用cert-manager来管理证书 cert-manager将确保证书有效并且是最新的,并在到期前尝试在配置的时间续订证书 part1.安装CustomResourceDefinitions和cert-manager本身: ╭─[18:04:19] yup@YP-7-15 ~ ╰─$ kubectl apply -f https://github.com/jetstack/cert-manager/releases/download/v1.2.0/cert-manager.yaml
kubernetes实战篇之windows添加自签ca证书信任
weixin_30679823的博客
06-28 729
系列目录 由于服务端设置了https访问,因此如果通过浏览器访问时会提示证书不被信任,但是仍然可以通过处理继续访问.但是在自动化环境中,都是通过命令来请求的,这样不受信任的https就会报错误,这样我们就要像docker服务器一样添加对自签证书的信任.前两部分我们分别在docker推送镜像和拉取镜像时添加了信任证书操作.但是都是基于linux的,在自动化环境中,可能有的节点是windows节点...
Kubernetes(k8s证书机制
叮当猫的喵i
09-15 3492
参考 数字证书原理 数字签名是什么? 一文带你彻底厘清 Kubernetes 中的证书工作机制 前置知识 数字证书原理 梳理 k8s组件的认证方式 原理 数字证书的验证是在协议层面通过TLS完成的,应用层不需要特殊处理,有两种方式 单向TLS验证:客户端验证服务端的证书,只需要验证服务端身份 双向TLS验证:客户端和服务端双向验证,双方互相验证 k8s各个组件的接口都包含了集群的内部信息,因此采用双向验证,会涉及到的相关文件 服务器端证书:包含服务器端公钥和服务端身份信息 服务器端私钥 客户
Kubernetes应用中使用TLS/SSL证书的两种方法及实践 详细整理版
且炼时光
08-27 7141
k8s应用注入自签发的TLS/SSL证书有两种思路:1.使用certificates.k8s.io API 进行签发。2. 自己生成CA证书进行签发,将所需的证书及公密钥打包进secret。本文将对这两种方法进行比较并动手实践。 文章目录零 获取自签发CA根证书1. 准备好openssl工具2. 创建 CA证书签名申请 配置文件(ca-csr-config.json)3. 生成 CA密钥及证书一 certificates.k8s.io API签发1 配置kubernetes使用自定义的CA根证书二 使用自
二进制安装K8S(三):自签TLS证书
奔跑的犀牛
11-12 626
一:需要使用证书的组件: 二、master节点上编写脚本: vim /root/scripts/certificate.sh #安装证书生成工具 wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 wget https://pkg.cfssl...
K8S应用笔记 —— 签发自签证书用于Ingress的https配置
热门推荐
gmHappy
08-18 3万+
在本地签发自命名证书,用于`K8S`集群的`Ingress`的https配置。
k8s实践(8)--ssl安全认证配置
黄规速博客:学如逆水行舟,不进则退
06-16 3218
一.基于CA签名的双向数字证书认证方式 在一个安全的内网环境中, Kubernetes的各个组件与Master之间可以通过apiserver的非安全端口http://apiserver:8080进行访问。但如果apiserver需要对外提供服务,或者集群中的某些容器也需要访问apiserver以获取集群中的某些信息,则更安全的做法是启用HTTPS安全机制。Kubernetes提供了基于CA签名的...
kubernetes(K8S)创建自签TLS证书
aiduo4911的博客
09-09 1267
TLS证书用于进行通信使用,组件需要证书关系如下: 组件 需要使用的证书 etcd ca.pem server.pem server-key.pem flannel ca.pem server.pem server-key.pem kube-apiserver ca.pem server.pem server-key.pem kubelet ca.pem c...
K8S官方部署方式以及自签SSL证书介绍
小叮当的博客
04-27 1252
文章目录官方提供的三种部署方式总结 官方提供的三种部署方式 minikube Minikube是一个工具,可以在本地快速运行一个单节点的Kubernetes,仅用于尝试Kubernetes或日常开发人员使用。 部署地址:https://kubernetes.io/docs/setup/learning-environment/minikube/ kubeadm Kubeadm也是一个工具,...
k8s 如何取消tls认证
07-31
3. 一旦kube-apiserver服务重新启动,TLS认证将被禁用,客户端将不再需要提供证书进行认证。 请注意,取消TLS认证会降低集群的安全性,因为任何人都可以连接到kube-apiserver并执行操作。因此,在生产环境中,强烈...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值