ansible 建 kubernetes 证书签名请求_SSL证书的自动化管理

最新推荐文章于 2024-03-30 14:14:36 发布
最新推荐文章于 2024-03-30 14:14:36 发布
阅读量179 收藏
点赞数
文章标签: ansible 建 kubernetes 证书签名请求 java实现根据csr生成证书

f090951c077ddbb9731df7af3510bbe6.png

作者 | 黄超

杏仁运维工程师,关注容器技术和自动化运维。

前言

当今随着人们对网络安全意识的增强,越来越多的网站都开启了 HTTPS 加密来保证数据传输的安全。要开启 HTTPS,首先就需要向 CA 机构申请 SSL 证书,SSL 证书根据可信强度,大概可分为: 域名型证书(DV SSL),企业型证书(OV SSL),增强型证书(EV SSL)。

证书类型审核流程审核周期价格使用场景DV SSL完成域名所有权限的验证1 天免费或几百元博客,个人站点OV SSL需要提交网站企业的资质文件(如营业执照,组织机构代码证等)经过人工审核后发放15 - 30 天几千左右一般的企业EV SSL需要提交网站企业的资质文件(如营业执照,组织机构代码证等)经过人工审核后,还需要律师函的审核才会发放15 - 30 天几千上万金融,电商等安全需求高的网站
对于我们个人而言或者是公司的内部管理系统,我们完全可以选择费用最少,申请周期短的 DV SSL 证书来开启我们站点的 HTTPS。目前在很多云平台(阿里云,腾讯云等)上都能免费地申请 DV SSL 证书,但是都会有数量限制,下面将介绍一个免费,开源的 CA 机构,而且基本上不会有数量上的限制还能实现自动化。

Let's Encrypt

55b92dfd1306ff415d91fde11a443ed4.png
The objective of Let’s Encrypt and the ACME protocol is to make it possible to set up an HTTPS server and have it automatically obtain a browser-trusted certificate, without any human intervention.

Let's Encrypt 是一个由非营利性组织 互联网安全研究小组 (ISRG) 提供的免费,自动化和开放的证书颁发机构。

Let's Encrypt 的证书的 签发/续签 都是通过 ACME 协议实现的,ACME 协议最初就是由 Let's Encrypt 团队开发,协议旨在确保验证,发布和管理方法是完全自动化,一致,合规和安全的,ACME v2 如今已变成了 IETF (RFC 8555) 标准。

Let's Encrypt 的官方已列举了许多实现了 ACME 协议的自动化申请工具/脚本,后面会简单介绍两款,我们先来看看 Let's Encrypt 的工作原理。

Let's Encrypt 的工作原理

首先是注册 Let's Encrypt 的用户(account),ACME 协议规定采用公私钥方式来注册账户,Client 端会根据非对称加密算法生成一对公私钥 openssl genrsa 4096,用私钥对注册用户所需的信息签名发送至 Let's Lencrypt 端,Let's Lencrypt 用公钥验证成功后将发送给 Client 一个 account object 和 account url,以后 server 端就能根据私钥的签名来验证账户信息的有效性了。

Client                                                   Server

[Contact Information]
[ToS Agreement]
[Additional Data]
Signature                     ------->
                                                         Account URL
                              <-------                   Account Object


                [] Information covered by request signatures

接着 Client 会向 Sever 端询问申请这个证书需求的内容,Server 端会发送一组或多组 challenges,要求 Client 证明对申请这个域名有控制权,证明的方式(Challenge Type)有两种:

  1. dns-01: 在 DNS 域名解析记录中新增一条 TXT 类型的记录。
  2. http-01: 在域名的指定目录放入一个文件。

下面就根据 http-01 验证的方式来说明,Let's Encrypt 要求将 ed98 文件放入到 https://examole.com/8303 目录下,通过会发送一个 nonce (随机数)9cf0b331 要求 Client 用上诉注册账户用的私钥签名。

0da10332470e20541b5a9c6229d83ce1.png

Client 将 nonce(随机数) 9cf0b331 使用私钥进行签名发送给 Server,Server 验证签名和目录下的文件成功后,就代表你对这个域名有控制权了。

daa6ec67c3bb6dd7840ac00dc3d808b5.png

接着 Client 会构建一个 PKCS#10 证书签名请求 CSR (包含证书一对公私钥)发送给 Server 端,同时用私钥对这个 CSR 进行签名,Server 根据签名确定你申请的这个域名是授权过的(上一步证明过了这个私钥对这个域名有控制权),对证书进行签名,然后颁发给 Client 端,这样就完成了证书的申请。

b1d5f83a3add577c74d6b56975039c95.png

ACME 客户端

acme.sh

acme.sh 是一个纯 shell 的脚本,所以基本上没有什么环境依赖,通过它能自动化地实现证书的申请,更新等操作。

安装过程非常简单,只需要一个命令,脚本相关的东西都放在 ~/.acme.sh/ 目录:

curl  https://get.acme.sh | sh

安装完成后,会在 crontab 中开启每天定时更新证书的 job:

0 0 * * * "/home/user/.acme.sh"/acme.sh --cron --home "/home/user/.acme.sh" > /dev/null

申请证书

acme.sh 默认采用 http 的方式来验证域名的所有权,可以通过 -w 参数来指定验证文件的路径,它会在 /var/www/html 中创建一个 .well-known 文件夹,Let's Encrypt 回去访问这个验证文件,验证成功后会将证书放在~/.acme.sh/certs/ 中:

acme.sh --issue -d example.com -w /var/www/html

安装证书

使用下列命令,它就能申请证书并把证书和私钥文件 copy 到你指定的位置,并执行 nginx reload,让配置生效。

acme.sh  --installcert  -d  <domain>.com   
        --key-file   /etc/nginx/ssl/<domain>.key 
        --fullchain-file /etc/nginx/ssl/fullchain.cer 
        --reloadcmd  "service nginx force-reload"

配合上 crontab 中的 job, 就能够实现证书的自动更新了。

cert-manager

cert-manager 是一个 kubernetes 的自定义插件,它通过 ACME 协议向 CA 机构(默认是 Let's Encrypt)申请证书。

3b8beea38ea8fe547f7a695e4efa5411.png

cert-manager 会检测到你证书创建资源请求(cert.yaml)并申请证书,成功后放在 Secrets 对象中,并定义更新证书。

cert.yaml

apiVersion: certmanager.k8s.io/v1alpha1
kind: Certificate
metadata:
  name: example
  namespace: default
spec:
  secretName: example-ssl-cert
  issuerRef:
    name: letsencrypt-prod
    kind: ClusterIssuer
  dnsNames:
  - www.example.com
  acme:
    config:
    - http01:
        ingressClass: nginx
      domains:
      - www.example.com

这样就能在 ingress 中直接使用了。

常见问题

申请证书频率的限制?

  • 同一个主域下一周只能申请 50 张证书 (例如 http://www.example.com 的主域是 http://example.com)
  • 每个账户每个域名每小时申请验证失败的次数为 5 次
  • 每周只能创建 5 个重复的证书,即使是通过不同账户创建
  • 每个账户同一个 IPv4 地址每 3 小时最多可创建 10 张证书
  • 每个多域名(SAN)证书最多包含 100 个子域
  • 更新证书没有次数的限制,但是更新证书会受到上述重复证书的限制

查询证书列表?

可在 https://crt.sh 进行查询域名的证书详情

关于通配符证书(泛域名证书)的支持:

https:// community.letsencrypt.org /t/acme-v2-production-environment-wildcards/55578

已支持,不过需要使用 DNS 记录进行域名所有权的验证。

Let's Encrypt 证书的兼容性:

兼容性列表: https://letsencrypt.org/docs/certificate-compatibility/

证书丢失了能否通过 Let's Encrypt account private key 找回:

https:// community.letsencrypt.org /t/how-to-get-certificates-which-were-lost/23438

无法只根据 account private key 将证书找回,应为证书的私钥只保存在你的本地,如果你的证书可以确认没有泄露,

就重新申请证书。

Let's Encrypt account private key 泄露了怎么办:

https:// community.letsencrypt.org /t/account-key-compromise/34136

目前从 ACME 的协议里并没有针对这个问题提出改进。最好的做法是,重新申请一个 account,然后在重新申请证书并替换,再将旧的证书吊销。

参考

  • ACME 协议
  • Let's Encrypt 是如何工作的

全文完

我们正在招聘 Java 工程师,欢迎有兴趣的同学投递简历到 rd-hr@xingren.com 。
欢迎搜索关注微信公众号:杏仁技术站(微信号 xingren-tech)。

weixin_39565021
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ansible-for-kubernetesAnsibleKubernetes示例来自Ansible for Kubernetes
01-31
Ansible Kubernetes示例 该存储库包含AnsibleKubernetes示例,这些示例由开发,以支持的不同部分。 并非所有剧本都遵循AnsibleKubernetes的所有最佳实践,因为它们以指导性的方式展示了特定功能。使用它们的示例...
SSL证书自动化管理
杏仁技术站
04-24 1056
作者 | 黄超 杏仁运维工程师,关注容器技术和自动化运维。前言当今随着人们对网络安全意识的增强,越来越多的网站都开启了 HTTPS 加密来保证数据传输的安全。要开启...
什么是 SSL 证书
最新发布
apple_csdn的博客
03-30 2587
SSL 证书的介绍、作用、组成、类型、原理
一款免费且好用的SSL证书管理工具(OHTTPS)
Chimengmeng的博客
09-05 660
【一】自站SSL证书的痛点 【1】引言 自己瞎折腾,搭了一个个人的博客平台(https://lupf.cn);作为程序员,B格还是得有的,因此,SSL证书也就必须得安排上呢,不然一访问,显示不安全的链接,有点丢不起那个人。 可是,各大云平台的免费SSL证书,都只支持二级域名,没办法配置泛域名,导致每添加一个二级域名,就得新申请一个SSL证书,假如都到期了话,就得全部重新申请一遍,重新配置一...
什么是SSL证书?SSL证书的原理和作用是什么?
weixin_53018687的博客
12-08 1124
而SSL证书就是遵守SSL协议的一种数字证书,与身份证、营业执照之类的身份证明类似,而SSL证书的证明对象是web服务器,SSL证书由全球信任的证书颁发机构验证服务器身份后进行颁发,以实现对网站身份验证和数据加密传输的效果。这是网站安装SSL证书的最主要目的,安装SSL证书后,就可以在客户端浏览器与网站服务器之间立起一条加密通道,实现对传输数据的加密处理,从而确保用户一些敏感信息不被监听和窃取。而安装了SSL证书,可以对网站身份信息进行核验,杜绝钓鱼网站对流量的劫持。3.增加用户对网站的信任度。
ansible_kubernetes_argocd:Ansible剧本,用于在Kubernetes集群上部署ArgoCD
02-05
总之,`ansible_kubernetes_argocd` 剧本是 IT 自动化和 DevOps 流程中的重要工具,它简化了在 Kubernetes 集群上部署 ArgoCD 的过程,确保了高效、一致和安全的部署体验。通过熟练掌握 AnsibleKubernetes,你...
kubernetes.core:AnsibleKubernetes收藏
02-04
【描述】"kubernetes.core"集合是Ansible社区对 Kubernetes 集成的强大贡献,它允许管理员和开发者通过Ansible自动化工具来处理Kubernetes的核心任务。这包括创、修改、删除Pod、Service、Deployment、ConfigMap、...
使用自动化运维工具Ansible集中化管理服务器
03-01
Ansible是一款为类Unix系统开发的自由开源的配置和自动化工具。它用Python写成,类似于saltstack和Puppet,但是有一个不同和优点是我们不需要在节点中安装任何客户端。它使用SSH来和节点进行通信。Ansible基于Python...
community.kubernetesAnsibleKubernetes收藏
02-04
该集合包括各种Ansible内容,以帮助自动化Kubernetes和OpenShift集群中的应用程序管理,以及集群本身的置备和维护。 包含内容 单击插件或模块的名称以查看该内容的文档: 连接插件: 过滤器插件: 库存来源: ...
SSL证书管理
小迷糊
07-25 1399
SSL证书管理SSL证书管理什么是SSL证书管理SSL证书的作用使用场景相关概念数字证书SSL协议CA认证中心HTTPS常见问题主流数字证书有哪些格式查看证书文件的格式证书格式转换 SSL证书管理 什么是SSL证书管理 SSL证书管理(SSL Certificate Manager,SCM)是一个SSL(Secure Socket Layer)证书管理平台,平台联合全球知名数字证书服务机构为用户提供购买SSL证书的功能,用户也可以将本地的外部SSL证书上传到平台,实现用户对内部和外部SSL证书的统一管理
SSL/CA 证书及其相关证书文件(pem、crt、cer、key、csr)
RayPick的博客
08-25 7082
SSL 证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上,也称为服务器证书。SSL 证书只有正确安装到 Web 服务器,才能实现客户端与服务器间的 https 通信。由于涉及到不同类型 Web 服务器的配置,需要在证书签发后,根据实际服务器环境来安装证书。CA 是一种电子商务认证授权机构,也称为电子商务认证中心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。其发布的证书就是 CA 证书
SSL证书是什么(全面解析))
m0_63906055的博客
10-11 843
定义:SSL证书是一种由数字证书颁发机构(CA)签发的文件,旨在验证服务器或网站的身份,确保通信安全性与数据完整性。·加密协议:SSL证书是使用SSL/TLS(Secure Sockets Layer/Transport Layer Security)协议来对数据进行安全加密与传输的关键组成部分。
什么是 SSL 证书管理
ITmoster的博客
03-22 842
Key Manager Plus是一套基于WEB的SSH密钥 管理解决方案,它可以帮助您加固、控制、管理、监控及审计SSH密钥 ,跨越密钥 的整个生命周期。它为管理员提供了可视化的SSH管理能力,帮助管理员有效控制密钥 文件的合理使用以及密钥文件的合规性。
SSL证书(ssl证书有什么作用?)
cdjiyuntx的博客
05-26 304
2、组织验证证书(Organization Validation, OV):这种类型的证书除了验证域名的有效性外,还验证了申请者的组织身份信息,如组织名称、注册地址等。SSL证书的作用是验证网站的身份,并加密在客户端和服务器之间传输的数据,以防止被未经授权的第三方恶意获取或篡改。一般来说,对于普通网站,域名验证证书已足够提供基本的安全保护,而对于商业和电子商务网站,组织验证证书或扩展验证证书可能更合适,因为它们提供了更高级别的身份验证和用户信任度。证书包含了网站的域名、组织信息以及证书颁发机构的数字签名
如何管理SSL/TLS证书以防止过期和滥用?
图幻未来的博客
01-10 391
SSL(安全套接层)/TLS(传输层安全性)是网络中加密通信的关键协议之一。通过为网站、应用或服务颁发数字证书以确认其身份并确保数据的安全传输。然而,由于各种原因如配置错误或恶意行为导致证书被不当利用等问题时有发生;因此必须采取有效的策略来保证这些证书的妥善保管和管理,从而避免不必要的风险和安全漏洞。
Nginx配置SSL证书部署HTTPS网站(配置站点使用 https,并且将 http 重定向至 https)
被生活耽误的旅行者
05-18 2237
Nginx配置SSL证书部署HTTPS网站(配置站点使用 https,并且将 http 重定向至 https) 一、什么是 SSL 证书,什么是 HTTPS SSL 证书是一种数字证书,它使用 Secure Socket Layer 协议在浏览器和 Web 服务器之间立一条安全通道,从而实现: 1、数据信息在客户端和服务器之间的加密传输,保证双方传递信息的安全性,不可被第三方窃听; 2、用户可以通过服务器证书验证他所访问的网站是否真实可靠。 HTTPS 是以安全为目标的 HTTP 通道,即 HTTP 下
网站子域名扫描程序,采用三种扫描方式(crt网站查询、站长网站查询、字典暴力破解)
jexsen的博客
03-15 2210
网站子域名扫描程序,采用三种扫描方式(crt网站查询、站长网站查询、字典暴力破解) 总体文件结构: 1个主文件common.py, 1个全局配置文件config.py, 1个随机取user_agent头文件user_agent_list.py, 暴力破解方式文件:brute_check.py,brute.py,domain_dic.txt(暴力破解的字典) crt网站(https://crt.sh/)查询子域名文件:crt_check.py,crt.py 站长网站(http://tool.chinaz.co
SSL证书概述与配置
a_b_e_l_的博客
09-05 7152
由于SSL技术已立到所有主要的浏览器和WEB服务器程序中,因此,仅需安装服务器证书就可以激活该功能了),即通过它可以激活SSL协议,实现数据信息在客户端和服务器之间的加密传输,可以防止数据信息的泄露,保证了双方传递信息的安全性,而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。近几年发生过多起免费SSL证书被大规模吊销事件,相关资讯可以网上搜索一下,除此之外,免费的SSL证书更不会与您签合同,以及提供及时的技术支持,您还需要考虑SSL证书的响应速度、兼容性等。俗称“域名验证型SSL证书”。
ansible 安装 kubernetes
08-04
要在Ansible中安装Kubernetes,你可以使用Ansible playbook来自动化这个过程。下面是一个简单的示例: . 创一个新的ible playbook文件,比如install_kubernetes.yml`。 2. 在playbook中定义主机组和变量,以及...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值