CFSSL自签TLS证书

最新推荐文章于 2023-08-30 10:42:29 发布
最新推荐文章于 2023-08-30 10:42:29 发布
阅读量342 收藏
点赞数
分类专栏: k8s 文章标签: etcd ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41083358/article/details/113438949
版权

CFSSL自签TLS证书

1.下载cfssl

mkdir ~/bin
wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -O cfssl -P ~/bin/
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -O cfssljson -P ~/bin/
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -O cfssl-certinfo -P ~/bin/
chmod +x ~/bin/{cfssl,cfssljson}
export PATH=$PATH:~/bin

2.初始化CA证书(certificate authority)

mkdir ~/cfssl
cd ~/cfssl
#ca机构配置:有效期10年
cat > ca-config.json <<EOF
{
  "signing": {
    "default": {
      "expiry": "438000h"
    },
    "profiles": {
      "kubernetes": {
         "expiry": "438000h",
         "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ]
      }
    }
  }
}
EOF

#ca机构配置: 机构名称Comman Name,所在地Country国家, State省, Locality市
#"CN":Common Name,kube-apiserver 从证书中提取该字段作为请求的用户名 (User Name)
#"O":Organization,kube-apiserver 从证书中提取该字段作为请求用户所属的组 (Group)
cat >  ca-csr.json <<EOF
{
    "CN": "kubernetes",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "ST": "ChongQing",
            "L": "ChongQing",
            "O": "k8s",
            "OU": "System"
        }
    ]
}
EOF

#向ca机构申请:证书注册 (中国,北京省,北京市), 提供服务的ip
# Organization Name, Common Name
cat >  server-csr.json <<EOF
{
    "CN": "kubernetes",
    "hosts": [
    "127.0.0.1",
    "192.168.201.128",
    "192.168.201.129",
    "192.168.201.130",
    "10.255.0.1",
    "kubernetes",
    "kubernetes.default",
    "kubernetes.default.svc",
    "kubernetes.default.svc.cluster",
    "kubernetes.default.svc.cluster.local"
    ],
    "key": {
      	"algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "ChongQing",
            "ST": "ChongQing",
            "O":"k8s",
            "OU": "System"
        }
    ]
}
EOF

3.容器内的证书类型

类型说明
client certificate客户端用该证书与服务端进行认证,例如:etcdctl、etcd proxy、or docker clients;
server certificate用户服务端校验客户端请求,例如: docker server、kube-apiserver;
peer certificateetcd集群member节点之间通讯;

4.证书生成

#用cfssl工具,生成证书:
mkdir ssl ; cd ssl
cfssl gencert -initca ../ca-csr.json | cfssljson -bare ca -
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=../ca-config.json -profile=kubernetes ../server-csr.json | cfssljson -bare server
# ls *pem
#ca-key.pem  ca.pem  server-key.pem  server.pem
weixin_41083358
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2、k8s集群手动部署笔记之自签TLS证书
maggie_up
07-09 1838
哪些组件需要证书? 组件 需要使用的证书 etcd ca.pem server.pem server-key.pem flannel ca.pem server.pem server-key.pem kube-apiserver ca.pem server.pem server-key.pem kubelet ca.pe...
Linux使用CFSSL自签TLS证书
weixin_30421525的博客
04-24 268
⒈安装CFSSL wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64   ①生成证书   ②利用Json生成...
ssl:tls证书自签
22333
05-07 286
go1.15以后必须是SAN证书 需要下载openssl mac下载方法:brew install openssl 生成 CA 根证书 genrsa -out ca.key 2048 req -new -x509 -days 3650 -key ca.key -out ca.pem 生成服务端证书 genpkey -algorithm RSA -out server.key req -new -nodes -key server.key -out server.csr -days 36.
使用cfssl签发证书
whitek的博客
12-23 709
下载cfssl wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -O /usr/bin/cfssl wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -O /usr/bin/cfssl-json wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -O /usr/bin/cfssl-certinfo chmod +x /usr/
生成SSL/TLS 自签证书
青鸟飞鱼
08-30 1300
可通过以下两种方式获取相关 SSL/TLS 证书自签证书:即使用自己签发的证书,由于自签证书存在较多的安全隐患,因此只建议用于测试验证环境。申请或购买证书:您可以向 Let’s Encrypt (opens new window)或华为云、腾讯云等云厂商申请免费证书,也可以向 DigiCert (opens new window)等机构购买收费证书。对于企业级用户,一般建议申请收费的 OV 及以上类型的证书,以获取更高等级的安全保护。
Linux中Nginx添加自签证书TLS的方法
09-15
TLS证书通常由权威的证书颁发机构(CA)签发,但为了测试或内部环境,我们可以自签证书。使用`openssl`工具,执行以下命令: ```bash openssl req -newkey rsa:2048 -x509 -nodes -keyout test....
自签证书cfssl资源文件包
06-24
通过这个自签证书cfssl资源文件包,你可以在本地或私有网络环境中建立一套完整的证书管理体系,实现对服务器身份的安全验证,而无需依赖外部的证书颁发机构。在实际操作中,确保了解每个工具的使用方法,并遵循最佳...
应用与CS模式的自签证书、.7z
04-30
在这种模式下,自签证书可以确保客户端(如浏览器)和服务器之间的通信是安全的,通过SSL/TLS协议,使用证书进行身份验证,并加密数据。 标签中提到了`openssl`,它是创建和管理证书的关键工具,它支持多种加密算法...
基于tls的CA测试证书
12-06
**基于TLS的CA测试证书详解** 在网络安全领域,证书授权(Certificate Authority,简称CA)扮演着至关重要的角色,它为互联网上的通信提供了安全基础。基于TLS(Transport Layer Security,传输层安全协议)的CA...
harbor-https-cfssl生成证书
05-28
在这个过程中,`cfssl`(Cloudflare's Certificate Authority Software)是一个非常实用的工具,它可以方便地帮助我们生成自签证书或作为本地CA(证书权威机构)来签发证书。接下来,我们将深入探讨如何使用cfssl...
ssl/tls 自签证书
谢文浩博客
11-02 872
***************************************************************************************** 客户端证书*************************************************************************************************步骤四:服务器证书请求文件。步骤六:查看服务器证书信息。步骤三:客户端证书请求文件。步骤一:服务器ca证书
证书签名工具 CFSSL
weixin_33785108的博客
12-17 260
资源 https://blog.cloudflare.com/i... 官方博客 特性 概念 安装 下载安装 wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 wg...
简化版ssl/tls 自签证书
谢文浩博客
11-03 546
***************************************************************************************** 客户端证书*************************************************************************************************步骤三:服务器证书请求文件,填写服务器ip或者域名。步骤三:客户端证书请求文件,填写服务器ip或者域名。
SSL/TLS深度解析--OpenSSL 生成自签证书
weixin_33695450的博客
10-29 3612
密钥算法 OpenSSL 支持 RSA、DSA 和 ECDSA 密钥,但是在实际场景中只是用 RSA 和 ECDSA 密钥。例如 Web 服务器的密钥,都使用RSA或ECDSA,因为DSA效率问题会限制在1024位(相对旧版本浏览器不支持更长的DSA密钥),ECDSA还没有全面范围的普及。比如SSH,一般都是使用DSA和RSA,而不是所有的客户端(不只是浏览器)都支持ECDSA算法。 密钥长度...
使用cfssl为程序添加https证书
liuyij3430448的博客
04-02 1158
相关配置文件在 /config/demo1 下实例1:创建一个自定义的CA机构根证书,使用这个根证书实现对其他证书的颁发,让浏览器能够信息此证书例如自定义的CA机构名称为LYJCA , 要签发一个网址为 api.liuyijiang.com DV证书CA根证书就是一个自签证书 可以使用./cfssl gencert -initca xx.json 命令创建在此之前先创建一个证书签名请求文件csr配置json可以使用先创建一个证书签名请求文件内容模板。
使用自签证书进行TLS
storm_fury
10-26 4662
自签证书将创建并存储在密钥生成过程中指定的密钥库中,并应由签名证书替换。使用自签证书需要生成和分发证书并为证书建立明确的信任。 使用自签证书获取TLS/SSL配置的证书,用于非生产或测试环境。 创建证书的目录 $ mkdir -p / opt / cloudera / security / x509 / / opt / cloudera / security / jks / 让Cloude...
linux cfssl自签证书
1853
12-02 759
linux cfssl自签证书 1、安装 curl -s -L -o /usr/bin/cfssl https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 curl -s -L -o /usr/bin/cfssl-json https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 curl -s -L -o /usr/bin/cfssl-certinfo https://pkg.cfssl.org/R1.2/cfssl-certinf
自签SSL证书以及nginx配置https服务
fb_fatboy的博客
04-10 2365
生成一个CA根证书,生成服务端证书,生成客户端证书,nginx配置https服务,开启ssl双向认证
ERROR: cannot verify xxx certificate, issued by ‘/C=US/O=Let’s Encrypt/CN=R3’:use `--no-check-certif
热爱技术,享受生活
06-17 7969
ERROR: cannot verify xxx certificate, issued by ‘/C=US/O=Let’s Encrypt/CN=R3’:use `--no-check-certif
openssl自签证书 csdn
最新发布
11-30
openssl是一个开放源代码的密码学工具库,它提供了很多密码学函数和工具,其中包括证书的生成和管理。自签证书是指由个人或组织自行创建和签发的数字证书,不需经过权威认证机构的验证。 要在CSND上使用openssl来生成自签证书,首先需要安装openssl工具。然后,可以通过以下步骤来生成自签证书: 1. 生成私钥:首先利用openssl生成一个私钥文件,可以使用如下命令: ```bash openssl genrsa -out key.pem 2048 ``` 2. 生成证书请求(CSR):利用私钥生成一个证书请求文件(CSR),可以使用如下命令: ```bash openssl req -new -key key.pem -out request.csr ``` 3. 生成自签证书:使用生成的私钥和CSR文件,利用openssl生成自签证书,可以使用如下命令: ```bash openssl x509 -req -in request.csr -signkey key.pem -out certificate.pem ``` 生成的certificate.pem即为自签证书文件,可以用来在CSND上进行SSL/TLS通信的配置。需要注意的是,由于自签证书没有经过权威认证机构的签发,因此在使用时会出现证书不受信任的提示,需要在客户端进行相关设置才能正常使用。 总而言之,利用openssl生成自签证书可以为个人或组织提供一种简单的数字证书方案,但需要在使用时注意其受信任性和安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值