部署k8s ssl集群实践2:cfssl配置根证书和秘钥

最新推荐文章于 2023-05-24 17:15:50 发布
最新推荐文章于 2023-05-24 17:15:50 发布
阅读量376 收藏
点赞数
文章标签: json runtime
原文链接:http://blog.51cto.com/goome/2164750
版权

参考文档:
https://github.com/opsnull/follow-me-install-kubernetes-cluster
感谢作者的无私分享。
集群环境已搭建成功跑起来。
文章是部署过程中遇到的错误和详细操作步骤记录。如有需要对比参考,请按照顺序阅读和测试。

2.1
##安装CFSSL
使用CloudFlare 的 PKI 工具集 cfssl 来生成 Certificate Authority (CA) 证书和秘钥文件,
CA 是自签名的证书,用来签名后续创建的其它 TLS 证书

[root@k8s-master ~]# mkdir -p /opt/k8s/cert && chown -R k8s /opt/k8s/
[root@k8s-master ~]# cd /opt/k8s/
[root@k8s-master ~]wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
[root@k8s-master ~]wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
[root@k8s-master ~]wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
[root@k8s-master k8s]# ls
bin  cert  cfssl-certinfo_linux-amd64  cfssljson_linux-amd64  cfssl_linux-amd64
[root@k8s-master k8s]# cp cfssl* bin/
[root@k8s-master k8s]# cd bin
[root@k8s-master bin]# ls
cfssl-certinfo_linux-amd64  cfssljson_linux-amd64  cfssl_linux-amd64  environment.sh
[root@k8s-master bin]#
[root@k8s-master bin]# find -name "*_linux-amd64" |for i in *;do mv $i `echo $i |sed 's/\_linux-amd64//g'`;done
[root@k8s-master bin]# ls
cfssl  cfssl-certinfo  cfssljson  environment.sh
[root@k8s-master ~]# export PATH=/opt/k8s/bin:$PATH  

永久定义路径:

[root@k8s-master ~]# echo "export PATH=/opt/k8s/bin:$PATH" >>.bashrc
[root@k8s-master ~]# cat .bashrc
# .bashrc

# User specific aliases and functions

alias rm='rm -i'
alias cp='cp -i'
alias mv='mv -i'

# Source global definitions
if [ -f /etc/bashrc ]; then
        . /etc/bashrc
fi
export PATH=/opt/k8s/bin:/opt/k8s/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/root/bin
[root@k8s-master ~]# source .bashrc
[root@k8s-master ~]#
[root@k8s-master ~]# chmod +x /opt/k8s/bin/*
[root@k8s-master ~]# cfssl version
Version: 1.2.0
Revision: dev
Runtime: go1.6

2.2
创建根证书
CA 证书是集群所有节点共享的,只需要创建一个 CA 证书,后续创建的所有证书都由它签名。

创建配置文件
CA 配置文件用于配置根证书的使用场景 (profile) 和具体参数 (usage,过期时间、服务端认证、客户端认证、加密等),后续在签名其它证书时需要指定特定场景。

[root@k8s-master cfssl]# cat ca-config.json
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "kubernetes": {
        "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ],
        "expiry": "87600h"
      }
    }
  }
}

signing:表示该证书可用于签名其它证书,生成的 ca.pem 证书中 CA=TRUE;
server auth:表示 client 可以用该该证书对 server 提供的证书进行验证;
client auth:表示 server 可以用该该证书对 client 提供的证书进行验证;

创建证书签名请求文件

[root@k8s-master cfssl]# cat ca-csr.json
{
  "CN": "kubernetes",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "SZ",
      "L": "SZ",
      "O": "k8s",
      "OU": "4Paradigm"
    }
  ]
}
[root@k8s-master cfssl]#

生成 CA 证书和私钥

[root@k8s-master cfssl]# cfssl gencert -initca ca-csr.json | cfssljson -bare ca
2018/08/16 16:01:21 [INFO] generating a new CA key and certificate from CSR
2018/08/16 16:01:21 [INFO] generate received request
2018/08/16 16:01:21 [INFO] received CSR
2018/08/16 16:01:21 [INFO] generating key: rsa-2048
2018/08/16 16:01:21 [INFO] encoded CSR
2018/08/16 16:01:21 [INFO] signed certificate with serial number 205566785593103327654759750393009729905695377637
[root@k8s-master cfssl]# ls ca*
ca-config.json  ca.csr  ca-csr.json  ca-key.pem  ca.pem

##ca.pem
##ca-key.pem 私钥

2.3
分发证书文件
将生成的 CA 证书、秘钥文件、配置文件拷贝到所有节点的 /etc/kubernetes/cert 目录下:

[root@k8s-master cfssl]# cp ca* /etc/kubernetes/cert/
[root@k8s-master cfssl]# scp ca* root@k8s-node1:/etc/kubernetes/cert/
ca-config.json                                                                        100%  292   225.0KB/s   00:00   
ca.csr                                                                                100%  993     1.3MB/s   00:00   
ca-csr.json                                                                           100%  201   288.7KB/s   00:00   
ca-key.pem                                                                            100% 1675     2.5MB/s   00:00   
ca.pem                                                                                100% 1338     2.0MB/s   00:00   
[root@k8s-master cfssl]# scp ca* root@k8s-node2:/etc/kubernetes/cert/
ca-config.json                                                                        100%  292   290.3KB/s   00:00   
ca.csr                                                                                100%  993     1.2MB/s   00:00   
ca-csr.json                                                                           100%  201   265.3KB/s   00:00   
ca-key.pem                                                                            100% 1675     2.1MB/s   00:00   
ca.pem                                                                                100% 1338     1.9MB/s   00:00   
[root@k8s-master cfssl]#

转载于:https://blog.51cto.com/goome/2164750

oldbalck
关注
(三)超详细纯手工搭建kubernetes(k8s)集群 - 认证授权和服务发现
devopser的博客
04-15 2843
1. 理解认证授权1.1 为什么要认证想理解认证,我们得从认证解决什么问题、防止什么问题的发生入手。防止什么问题呢?是防止有人入侵你的集群,root你的机器后让我们集群依然安全吗?不是吧,root都到手了,那就为所欲为,防不胜防了。其实网络安全本身就是为了解决在某些假设成立的条件下如何防范的问题。比如一个非常重要的假设就是两个节点或者ip之间的通讯网络是不可信任的,可能会被第三方窃取,也可能会被第...
自建k8s平台-高可用k8s集群
nsydgs的博客
07-29 789
二进制搭建k8s
k8s安装需要的组件:cfssl+dns+docker18.06+etcd+flannel+helm+socat
11-18
【离线安装包】 本人已经搭建过一套环境了,由于工作环境隔离外网,只能离线安装,现将需要用到的工具均打包好,以备不时之需。
k8s部署之使用CFSSL创建证书
梦想起飞的地方.........
03-02 1253
k8s部署之使用CFSSL创建证书 安装CFSSL curl -s -L -o /bin/cfssl https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 curl -s -L -o /bin/cfssljson https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 curl -s -L -o /bin/cf...
cfssl k8s集群部署_k8s集群部署高可用完整版
weixin_28961565的博客
01-17 161
###二进制包下载地址:https://github.com/containernetworking/plugins/releases# mkdir -p /opt/cni/bin /etc/cni/net.d#tar zxvf cni-plugins-linux-amd64-v0.8.2.tgz –C /opt/cni/bin#cat kube-flannel.yaml---apiVersion...
nginx负载均衡+tomcat集群配置ssl证书
zlt的博客
06-27 914
Nginx上启用HTTPS,而Nginx 和 Tomcat 之间走普通的 HTTP 连接。 (一) Nginx 配置ssl环境 (1) [root@linux ~]# cd /usr/local/src/nginx-1.1.15 进入nginx安装目录 (2) [root@linux ~]# ./configure --with-http_ssl_module 当执行上面语句,报错:./co...
《Kubernetes证书篇:手动生成二进制kubernetes集群相关证书
东城绝神
04-24 1813
《《Kubernetes证书篇:二进制手动生成kubernetes集群相关证书
kubernets集群二进制单节点部署
yangzhou__的博客
12-16 1741
目录前言一、CA证书1、制作官方颁发的证书2、制作master端的证书3、制作node瑞证书4、证书有效期二、k8s二进制部署1、ETCD集群部署1.1、创建cfssl类型工具下载脚本1.2、定义证书两个脚本1.3、ETCD集群部署2、node节点部署docker3、flannel网络集群部署4、部署master组件5、node节点部署6、node02节点部署7、加入集群8、测试创建实例 前言 官方提供的三种部署方式:kubeadmin、二进制、minikube,本文主要讲解二进制部署方式 K8S二进制部署
docker&k8s入门详解
热门推荐
qq_38328477的博客
01-31 2万+
docker&k8s入门详解一、Docker1.1 什么是Docker1.2为什么要使用docker?1.更快速的交付和部署2.更高效的虚拟化3.更轻松的迁移和扩展4.更简单的管理5.对比传统虚拟机总结1.3 基本概念1. 镜像(Image)2.容器(Container)3.仓库(Repository)1.4 Docker安装1. CentOS(7以上)2.Ubuntu1.5 基础命令1....
cfssl-arm64.zip
05-15
cfssl-arm64.zip --- 弥补cfssl官方没有给出arm64版本二进制文件。
kubernetes实践之六:CFSSL构建本地CA
clmaykr95629的博客
03-21 222
一:前言 SSL:Secure Sockets Layer,标准化后叫"TLS",http协议默认情况下是不加密内容的,这样就很可能在内容传播的时候被别人监听到,对于安全性要求较高的场合,必须要加密,https就是带加密...
二十、K8s集群设置2- HTTPS-CFSSL
tushanpeipei的博客
12-01 1552
使用CFSSL部署K8s集群中的证书
k8s证书文件解释
weixin_42595747的博客
06-27 702
k8s部署之使用CFSSL创建证书 wangzhkai 2018-05-12 12:07:10 6983 收藏 2 分类专栏: k8s 安装CFSSL curl -s -L -o /bin/cfssl https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 curl -s -L -o /bin/cfssljson https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 curl -s -L -o /bin/cfssl-certi
kubernetes # Kubernetes证书相关(CFSSL)
kk_ops的博客
12-03 271
CFSSL是CloudFlare开源的一款PKI/TLS工具。 CFSSL 包含一个命令行工具 和一个用于 签名,验证并且捆绑TLS证书的 HTTP API 服务。 使用Go语言编写。 Github 地址: https://github.com/cloudflare/cfssl 官网地址: https://pkg.cfssl.org/ #安装cfssl #安装cfssl curl -L https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o /usr/local/bi
Kubernetes1.27.1部署+containerd+CFSSL证书+批量高可用集群部署
qq_28619723的博客
05-17 2075
Kubernetes1.27.1部署+containerd+CFSSL证书+批量集群部署
数字证书中主题(Subject)中字段的含义
09-27 1万+
数字证书中主题(Subject)中字段的含义 一般的数字证书产品的主题通常含有如下字段: 公用名称 (Common Name) 简称:CN 字段,对于 SSL 证书,一般为网站域名或IP地址;而对于代码签名证书则为申请单位名称;而对于客户端证书则为证书申请者的姓名;  单位名称 (Organization Name) :简称:O 字段,对于 SSL 证书,一般为网站域名;
cfssl使用方法重新整理说明
最新发布
m0_46900715的博客
05-24 1607
cfssl使用方法重新整理说明
Hyper-V中为远程K8S集群部署Dashboard:配置国内镜像
这个文件定义了Dashboard的部署配置,包括类型设置为"NodePort",这意味着Dashboard将在集群内部的节点上暴露端口,外部可以通过Node IP和指定的端口访问。 在下载文件后,我们需要据本地K8s环境对`dashboard....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值