Kubernetes部署(三):CA证书制作

最新推荐文章于 2023-04-24 12:16:32 发布
最新推荐文章于 2023-04-24 12:16:32 发布
阅读量159 收藏
点赞数
文章标签: json 开发工具
原文链接:http://blog.51cto.com/billy98/2334704
版权

相关内容:

Kubernetes部署(一):架构及功能说明
Kubernetes部署(二):系统环境初始化
Kubernetes部署(三):CA证书制作
Kubernetes部署(四):ETCD集群部署
Kubernetes部署(五):Haproxy、Keppalived部署
Kubernetes部署(六):Master节点部署
Kubernetes部署(七):Node节点部署
Kubernetes部署(八):Flannel网络部署
Kubernetes部署(九):CoreDNS、Dashboard、Ingress部署
Kubernetes部署(十):储存之glusterfs和heketi部署
Kubernetes部署(十一):管理之Helm和Rancher部署
Kubernetes部署(十二):helm部署harbor企业级镜像仓库

手动制作CA证书

1.安装 CFSSL

[root@node-01  ~]# cd /usr/local/src
[root@node-01  src]# wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
[root@node-01  src]# wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
[root@node-01  src]# wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
[root@node-01  src]# chmod +x cfssl*
[root@node-01  src]# mv cfssl-certinfo_linux-amd64 /data/kubernetes/bin/cfssl-certinfo
[root@node-01  src]# mv cfssljson_linux-amd64  /data/kubernetes/bin/cfssljson
[root@node-01  src]# mv cfssl_linux-amd64  /data/kubernetes/bin/cfssl
复制cfssl命令文件拷贝到所有节点
[root@node-01  ~]# scp /data/kubernetes/bin/cfssl* 10.31.90.201: /data/kubernetes/bin
[root@node-01  ~]# scp /data/kubernetes/bin/cfssl* 10.31.90.202: /data/kubernetes/bin
将/data/kubernetes/bin加入环境变量
[root@node-01 ~]# echo 'PATH=/data/kubernetes/bin:$PATH' >>/etc/profile
[root@node-01 ~]# source /etc/profile

2.初始化cfssl

生产初始配置文件,我们根据这些文件改

[root@node-01  src]# mkdir ssl && cd ssl
[root@node-01  ssl]# cfssl print-defaults config > config.json
[root@node-01  ssl]# cfssl print-defaults csr > csr.json

3.创建用来生成 CA 文件的 JSON 配置文件

server auth表示client可以用该ca对server提供的证书进行验证

client auth表示server可以用该ca对client提供的证书进行验证

[root@node-01 ssl]# vim ca-config.json
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "kubernetes": {
        "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ],
        "expiry": "87600h"
      }
    }
  }
}

4.创建用来生成 CA 证书签名请求(CSR)的 JSON 配置文件

[root@node-01 ssl]# vim ca-csr.json
{
  "CN": "kubernetes",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "k8s",
      "OU": "System"
    }
  ]
}

5.生成CA证书(ca.pem)和密钥(ca-key.pem)

[root@node-01 ssl]# cfssl gencert -initca ca-csr.json | cfssljson -bare ca
[root@node-01 ssl]# ls -l ca*
-rw-r--r-- 1 root root  292 Dec 24 16:11 ca-config.json
-rw-r--r-- 1 root root 1001 Dec 24 16:15 ca.csr
-rw-r--r-- 1 root root  208 Dec 24 16:14 ca-csr.json
-rw------- 1 root root 1679 Dec 24 16:15 ca-key.pem
-rw-r--r-- 1 root root 1359 Dec 24 16:15 ca.pem

6.分发证书

[root@node-01 ssl]# cp ca.csr ca.pem ca-key.pem ca-config.json /data/kubernetes/ssl
SCP证书到所有节点
[root@node-01 ssl]# for n in `seq 202 206`;do scp ca.csr ca.pem ca-key.pem ca-config.json root@10.31.90.$n:/data/kubernetes/ssl;done 
ca.cs

后续会陆续更新所有的安装文档,如果你觉得我写的不错,希望大家多多关注点赞,非常感谢!

转载于:https://blog.51cto.com/billy98/2334704

weixin_34410662
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
kubernetes-vault:使用保管库存储Kubernetes的机密!
02-03
支持将所有支持TLS的组件用作Vault的CA或外部CA。 使用Raft的高可用性模式,因此,如果领导者失败了,跟随者可以立即接管。 使用Kubernetes服务以及端点和八卦的对等发现以在集群中传播对等更改。 先决条件: ...
Kubernetes证书篇:手动生成二进制kubernetes集群相关证书
东城绝神
04-24 1657
《《Kubernetes证书篇:二进制手动生成kubernetes集群相关证书
k8s-证书管理之cert-manager自动生成证书
最新发布
zerotoall的博客
04-24 1094
cert-manager是基于ACME协议与Let's Encrypt来签发免费证书并自动续期,实现永久免费使用证书Kubernetes提供了基于CA签名的双向数字证书认证方式和简单的基于HTTP Base或Token的认证方式,其中CA证书方式的安全性最高。
[云原生k8s] k8s的CA证书创建和使用
weixin_71429850的博客
11-03 1882
Etcd 是一个分布式键值存储系统,Kubernetes 使用 Etcd 进行数据存储,所以先准备 一个 Etcd 数据库,为解决 Etcd 单点故障,应采用集群方式部署,这里使用 3 台组建集 群,可容忍 1 台机器故障,当然,你也可以使用 5 台组建集群,可容忍 2 台机器故障。ETCD_INITIAL_CLUSTER_STATE:加入集群的当前状态,new 是新集群,existing 表示加入 已有集群。ETCD_INITIAL_ADVERTISE_PEER_URLS:集群通告地址。
[云原生k8s] k8s的CA证书创建和使用及ETCD集群
m0_71521555的博客
11-03 1703
CA证书及ETCD集群部署
kubernetes集群安装指南:创建CA证书及相关组件证书密钥
bjdmy2068的博客
07-01 862
在实际kubernetes应用场景中,集群内组件之间访问都是通过TLS双向认证安全访问,即https访问,所以在部署时,给kubernetes各个组件创建证书是必要的,这是因为没有https安全访问会导致集群间节点通信访问不安全,非法用户可以通过客户端操作,对集群资源非法操作,引起集群服务异常,甚至集群宕机。例如:非法操作etcd存储的数据,因此集群开启https访问双向认证是必要的。 1 准备工...
Kubernetes中的证书工作机制详解
11-29
Kubernetes 中,每个组件都可能需要服务器端证书(含公钥和私钥)、客户端证书(同样含公钥和私钥)以及相应的 CA证书来验证对方的身份。 - 服务器端证书:证明服务器身份的数字证书,包含服务器的公钥和身份...
kubernetes-scenario:Kubernetes https的交互式脚本
05-13
对于使用权威CA签发的证书,我们需要将公钥证书和私钥文件存储在Kubernetes的Secret对象中,然后引用这些Secret来配置Ingress。 HTML标签在这个场景中可能涉及前端页面的配置,例如,如果我们的应用有前端界面,...
CA证书制作
04-29
CA证书制作 CA证书是目前网络安全中最重要的组件之一,其在现实生活中的应用极为广泛,任何一个权威机构均需一个CA证书。因此,证书制作也就极为关键而有用。本文将详细介绍CA证书制作流程,包括实验目的、...
使用OpenSSL生成Kubernetes证书的介绍
09-30
生成这些证书后,你需要将它们部署Kubernetes集群的各个组件中,通常通过配置文件或密钥管理工具(如Kubernetes Secrets)进行。apiserver、ControllerManager和Kubelet等组件会使用这些证书进行安全通信,确保...
sealos:一条命令安装kubernetes,超全版本,支持国产化,生产环境中稳如老狗,99年证书,0依赖,去haproxy keepalived,v1.20支持containerd!
02-02
一条命令部署Kubernetes高可用 :waving_hand: 只能用丝滑一词形容的kubernetes高可用安装(kubernetes install)工具,一条命令,离线安装,包含所有依赖,内核负载不依赖haproxy keepalived,纯golang开发,99年证书,支持v1.20.0 v1。 19.5 v1.18.13 v1.17.15! 文档:, 加入组织:钉钉群(35371178), 支持的环境 Linux发行版,CPU架构 Ubuntu 16.04,18.04,20.04,x86_64 / arm64 Centos / RHEL 7.6 +,x86_64 / arm64 其他支持systemd的系统环境。 x86_64 / arm64 kubernetes版本 1.16+ 1.17+ 1.18+ 1.19+ 1.20+ 更多版本支持,详细查看 要求和建议 最低资源要求 2个vCpu 4G内存 40G +存储 操作系统要求 ssh可以访问各安装例程 各股东主机名不相同,并满足kubernetes的主机名要求。 各股东时间同步 网卡名称如果是不常见的,建议
Kubernetes集群部署之二CA证书制作
完颜振江
02-04 817
创建TLS证书和秘钥 kubernetes 系统的各组件需要使用 TLS 证书对通信进行加密,本文档使用 CloudFlare 的 PKI 工具集 cfssl 来生成 Certificate Authority (CA) 和其它证书. 1. 下载并安装 CFSSL: # cat cssl.sh #!/bin/bash curl -L https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o /usr/local/bin/cfssl curl -L https:
k8s ca 证书制作
sun_xuegang的博客
01-15 2136
一、下载相关软件
kubernetes证书生成
热门推荐
沈首二
11-04 1万+
kubernetes证书生成为了安全起见,建议在kubernetes中使用安全证书。在之前的文章中,而是统一在集群搭建中制造,并没有单独介绍证书的生成。本文将介绍kubernetes证书生成。一下文章将需要生成如下证书: 根证书公钥与私钥:ca.pem与ca-key.pem API Server公钥与私钥:apiserver.pem与apiserver-key.pem 集群管理员公钥与私钥:ad
Kubernetes实战(二十一)-CFSSL 制作 CA 证书(核心组件间通信验证需要)
专注基础架构领域
08-23 950
Kubernetes 系统的各组件需要使用 TLS 证书对通信进行加密,本文档使用 CloudFlare 的 PKI 工具集 cfssl 来生成 Certificate Authority (CA) 和其它证书。 1、CFSSL安装 [root@k8s-master ~]# cd /usr/local/src [root@k8s-master src]# wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 [root@k8s-master src]# .
【云原生 · Kuberneteskubernetes v1.23.3 二进制部署(二)
念舒C.ying
09-02 533
CA (Certificate Authority) 是自签名的根证书,用来签名后续创建的其它证书。注意:如果没有特殊指明,本文档的所有操作。期待下次的分享,别忘了连支持博主呀~CA 证书是集群所有节点共享的,证书对通信进行加密和认证。,后续用它签名其它所有证书。下表可帮助您创建证书请求。,期待你的关注~💪💪💪。
Kubernetes---证书配置
weixin_51431591的博客
04-16 470
Kubernetes---证书配置一、ca.pem & ca-key.pem & ca.csr二、token.csv、bootstrap.kubeconfig四、kubectl五、kubelet六、kube-apiserver七、kube-controller-manager八、kube-scheduler && kube-proxy 一、ca.pem & ca-key.pem & ca.csr 建立完整TLS加密通信,需要有一个CA认证机构,会向客户端下发
Kubernetes (K8s)安装部署过程(一)之证书安装
云深海阔专栏
08-13 7529
一、安装前主题环境准备   1、docker安装   建议使用官网yum源安装,添加yum源之后,直接yum install docker即可   2、关闭所有节点的selinux   最好修改配置文件为disabled,而不是临时更改,避免以后重启引起不必要的麻烦   3、安装私有仓库环境Harbor   具体安装过程参考我的博客:https://blog.csdn.net/baidu_38432732/article/details/106430307   4、基本架构 IP 节点
Kubernetes证书工作机制详解:制作与使用方式详解
制作一个Kubernetes证书,首先需要生成一个私钥,然后使用私钥向CA请求签发证书。在Kubernetes中,通常使用OpenSSL或者EasyRSA等工具来生成私钥和证书请求。在请求签发证书时,需要将证书请求发送给CACA会对请求...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值