Kubernetes 证书生成方法easyrsa openssl cfssl

最新推荐文章于 2023-10-08 13:11:29 发布
最新推荐文章于 2023-10-08 13:11:29 发布
阅读量567 收藏
点赞数
分类专栏: kubernetes 文章标签: java linux kubernetes nginx docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43798031/article/details/114703106
版权

转载官网
地址:https://kubernetes.io/zh/docs/concepts/cluster-administration/certificates/

当使用客户端证书进行认证时,用户可以使用现有部署脚本,或者通过 easyrsa、openssl 或 cfssl 手动生成证书。

分发自签名 CA 证书
证书 API

使用 easyrsa 能够手动地为集群生成证书。

下载、解压并初始化 easyrsa3 的补丁版本。

curl -LO https://storage.googleapis.com/kubernetes-release/easy-rsa/easy-rsa.tar.gz
tar xzf easy-rsa.tar.gz
cd easy-rsa-master/easyrsa3
./easyrsa init-pki
生成 CA(通过 --batch 参数设置自动模式。 通过 --req-cn 设置默认使用的 CN)

./easyrsa --batch "--req-cn=${MASTER_IP}@date +%s" build-ca nopass
生成服务器证书和密钥。 参数 --subject-alt-name 设置了访问 API 服务器时可能使用的 IP 和 DNS 名称。 MASTER_CLUSTER_IP 通常为 --service-cluster-ip-range 参数中指定的服务 CIDR 的 首个 IP 地址,--service-cluster-ip-range 同时用于 API 服务器和控制器管理器组件。 --days 参数用于设置证书的有效期限。 下面的示例还假设用户使用 cluster.local 作为默认的 DNS 域名。

./easyrsa --subject-alt-name="IP:${MASTER_IP},"\
"IP:${MASTER_CLUSTER_IP},"\
"DNS:kubernetes,"\
"DNS:kubernetes.default,"\
"DNS:kubernetes.default.svc,"\
"DNS:kubernetes.default.svc.cluster,"\
"DNS:kubernetes.default.svc.cluster.local" \
--days=10000 \
build-server-full server nopass
拷贝 pki/ca.crt、 pki/issued/server.crt 和 pki/private/server.key 至您的目录。

填充并在 API 服务器的启动参数中添加以下参数:

--client-ca-file=/yourdirectory/ca.crt
--tls-cert-file=/yourdirectory/server.crt
--tls-private-key-file=/yourdirectory/server.key

使用 openssl 能够手动地为集群生成证书。

生成密钥位数为 2048 的 ca.key:

openssl genrsa -out ca.key 2048
依据 ca.key 生成 ca.crt (使用 -days 参数来设置证书有效时间):

openssl req -x509 -new -nodes -key ca.key -subj "/CN=${MASTER_IP}" -days 10000 -out ca.crt
生成密钥位数为 2048 的 server.key:

openssl genrsa -out server.key 2048
创建用于生成证书签名请求(CSR)的配置文件。 确保在将其保存至文件(如 csr.conf)之前将尖括号标记的值(如 <MASTER_IP>) 替换为你想使用的真实值。 注意:MASTER_CLUSTER_IP 是前面小节中描述的 API 服务器的服务集群 IP (service cluster IP)。 下面的示例也假设用户使用 cluster.local 作为默认的 DNS 域名。

[ req ]
default_bits = 2048
prompt = no
default_md = sha256
req_extensions = req_ext
distinguished_name = dn

[ dn ]
C = <country>
ST = <state>
L = <city>
O = <organization>
OU = <organization unit>
CN = <MASTER_IP>

[ req_ext ]
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = kubernetes
DNS.2 = kubernetes.default
DNS.3 = kubernetes.default.svc
DNS.4 = kubernetes.default.svc.cluster
DNS.5 = kubernetes.default.svc.cluster.local
IP.1 = <MASTER_IP>
IP.2 = <MASTER_CLUSTER_IP>

[ v3_ext ]
authorityKeyIdentifier=keyid,issuer:always
basicConstraints=CA:FALSE
keyUsage=keyEncipherment,dataEncipherment
extendedKeyUsage=serverAuth,clientAuth
subjectAltName=@alt_names

基于配置文件生成证书签名请求:

openssl req -new -key server.key -out server.csr -config csr.conf
使用 ca.key、ca.crt 和 server.csr 生成服务器证书:

openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key \
-CAcreateserial -out server.crt -days 10000 \
-extensions v3_ext -extfile csr.conf
查看证书:

openssl x509 -noout -text -in ./server.crt
最后,添加同样的参数到 API 服务器的启动参数中。

cfssl 是另一种用来生成证书的工具。

按如下所示的方式下载、解压并准备命令行工具。 注意:你可能需要基于硬件架构和你所使用的 cfssl 版本对示例命令进行修改。

curl -L https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o cfssl
chmod +x cfssl
curl -L https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -o cfssljson
chmod +x cfssljson
curl -L https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -o cfssl-certinfo
chmod +x cfssl-certinfo
创建目录来存放物料,并初始化 cfssl:

mkdir cert
cd cert
../cfssl print-defaults config > config.json
../cfssl print-defaults csr > csr.json
创建用来生成 CA 文件的 JSON 配置文件,例如 ca-config.json:

{
"signing": {
"default": {
"expiry": "8760h"
},
"profiles": {
"kubernetes": {
"usages": [
"signing",
"key encipherment",
"server auth",
"client auth"
],
"expiry": "8760h"
}
}
}
}
创建用来生成 CA 证书签名请求(CSR)的 JSON 配置文件,例如 ca-csr.json。 确保将尖括号标记的值替换为你想使用的真实值。

{
"CN": "kubernetes",
"key": {
"algo": "rsa",
"size": 2048
},
"names":[{
"C": "<country>",
"ST": "<state>",
"L": "<city>",
"O": "<organization>",
"OU": "<organization unit>"
}]
}
生成 CA 密钥(ca-key.pem)和证书(ca.pem):

../cfssl gencert -initca ca-csr.json | ../cfssljson -bare ca
按如下所示的方式创建用来为 API 服务器生成密钥和证书的 JSON 配置文件。 确保将尖括号标记的值替换为你想使用的真实值。 MASTER_CLUSTER_IP 是前面小节中描述的 API 服务器的服务集群 IP。 下面的示例也假设用户使用 cluster.local 作为默认的 DNS 域名。

{
"CN": "kubernetes",
"hosts": [
"127.0.0.1",
"<MASTER_IP>",
"<MASTER_CLUSTER_IP>",
"kubernetes",
"kubernetes.default",
"kubernetes.default.svc",
"kubernetes.default.svc.cluster",
"kubernetes.default.svc.cluster.local"
],
"key": {
"algo": "rsa",
"size": 2048
},
"names": [{
"C": "<country>",
"ST": "<state>",
"L": "<city>",
"O": "<organization>",
"OU": "<organization unit>"
}]
}
为 API 服务器生成密钥和证书,生成的秘钥和证书分别默认保存在文件 server-key.pem 和 server.pem 中:

../cfssl gencert -ca=ca.pem -ca-key=ca-key.pem \
--config=ca-config.json -profile=kubernetes \
server-csr.json | ../cfssljson -bare server
分发自签名 CA 证书
客户端节点可能拒绝承认自签名 CA 证书有效。 对于非生产环境的部署,或运行在企业防火墙后的部署,用户可以向所有客户端分发自签名 CA 证书, 并刷新本地的有效证书列表。

在每个客户端上执行以下操作:

sudo cp ca.crt /usr/local/share/ca-certificates/kubernetes.crt
sudo update-ca-certificates
Updating certificates in /etc/ssl/certs...
1 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d....
done.

Cloud孙文波
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Open***与easy-rsa的安装与配置
weixin_34015860的博客
01-12 2257
Yum源wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo安装基础包yum -y install openssl openssl-develyum -y install lzoyum -y install open*** easy-rsa修改vars文件cd /usr/share/easy-rs...
通过EasyrsaOpenssl制作自签名证书
热门推荐
柳清风的专栏
04-08 3万+
当前https被广泛运用于互联网环境,就连百度都改成https的请求了。在https中很重要的一个步骤就是证书验证,证书验证报错单项验证和双向验证,其实说白了就是服务端和客户端相互验证自己的身份,确定对方的合法性,但是双方无论怎样验证都无法避免证书被截获修改的风险,所以还需要一个第三方机构-CA证书机构,譬如最近和google撕逼的塞门铁托,就是著名的CA机构,当然企业为了省钱,完成可以自己给自己的
kubernetes V1.10.4 单节点部署 (手动生成证书)
weixin_33921089的博客
06-14 360
说明:本文档涉及docker镜像,yaml文件下载地址链接:https://pan.baidu.com/s/1QuVelCG43_VbHiOs04R3-Q 密码:70q21. 环境1.1 服务器信息主机名IP地址os 版本节点k8s01172.16.50.131CentOS Linux release 7.4.1708 (Core)mmasterk8s02172.16....
公钥基础设施(PKI)/CFSSL证书生成工具的使用
weixin_34123613的博客
05-26 407
公钥基础设施(PKI)基础概念CA(Certification Authority)证书,指的是权威机构给我们颁发的证书。密钥就是用来加解密用的文件或者字符串。密钥在非对称加密的领域里,指的是私钥和公钥,他们总是成对出现,其主要作用是加密和解密。常用的加密强度是2048bit。RSA即非对称加密算法。非对称加密有两个不一样的密码,一个叫私钥,另一个叫公钥,用其中一个加密的数据...
关于easyrsa命令中的nopass
三角室专栏
11-06 1990
https://hub.fastgit.org/OpenVPN/easy-rsa/releases Windows 下运行 EasyRSA-Start.bat 打开一个 shell 环境 create a new PKI and CA ./easyrsa init-pki ./easyrsa build-ca 默认 ca.key 会加密,要求输入两次密码。 避免交互输入可使用以下命令。 echo -e “pass\npass” | ./easyrsa --batch build-ca http://tool
kubernetes 证书制作工具
纵横四海的博客
04-21 1021
Creating Certificates 本文介绍三种制作证书的工具,分别是easyrsa, openssl or cfssl easyrsa 下载并解压easyrsa curl -LO https://storage.googleapis.com/kubernetes-release/easy-rsa/easy-rsa.tar.gz tar xzf easy-rsa.tar.gz ...
使用OpenSSL生成Kubernetes证书的介绍
09-30
OpenSSL是一个强大的安全套接字层密码库,常用来生成证书和密钥,以确保Kubernetes组件之间的安全交互。本篇文章将深入讲解如何使用OpenSSL生成Kubernetes所需的证书。 首先,我们来看Kubernetes支持的几种认证...
使用openssl 生成免费证书方法步骤
01-10
一:什么是openssl? 它的作用是?应用场景是什么? 即百度百科说:openssl是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,它可以避免信息被窃听到。 SSL是Secure Sockets Layer(安全套接层...
Kubernetes 证书一键生成(包含 etcd 证书)
04-30
"k8s-tls"可能是生成证书的脚本或工具,它可以读取config.yaml,并自动生成所需的所有证书和密钥,包括Kubernetes控制平面和etcd组件的证书。 **证书生命周期管理** Kubernetes证书有固定的生命周期,过期后需要...
【HTTPS】使用OpenSSL生成带有SubjectAltName的自签名证书
Mlib
11-01 1万+
操作步骤 首先新建一个配置文件 ssl.conf如下: [ req ] default_bits = 4096 distinguished_name = req_distinguished_name req_extensions = req_ext [ req_distinguished_name ] countryName = Country...
Linux版Open***安装配置教程
weixin_33912445的博客
12-14 664
本文将以目前最新的open***-2.3.11.tar.gz为例来介绍如何在Linux系统中安装、配置及使用Open×××安装Open×××的实验环境及网络拓扑我这里选用了一台Redhat6.5 64位系统的计算机作为Open×××服务器,其配置了两块网卡,eth1网卡是NAT模式的,eth2网卡是桥接模式的,一台windows xp 32位系统的计算机作为Open×××客户...
easy-rsa 证书详解
最新发布
YFHCSDN的博客
10-08 1607
rsa证书 个人总结
使用easyrsa来制作证书
weixin_34405354的博客
05-23 2739
一、基于easy_rsa 2.x制作证书:链接:https://blog.51cto.com/wzlinux/1736459 最后附录部分。下载密钥制作工具easy_rsa 2:wget https://github.com/Open×××/easy-rsa/archive/release/2.x.zip解压easy_rsa并拷贝到/etc/ope...
循序渐进的手动安装k8s笔记-2
weixin_33676492的博客
09-13 115
上一篇笔记中,我尝试了使用 k8s 1.6 版本安装一个最简单的集群。这一次,我希望能够增加 node 的数量并且安装网络插件,然后配置内部的域名解析功能。 在起初的设想中,我仍然希望不配置各个组件间的认证,只关心功能的正常运行。但在配置的过程中发现 pod 中运行的组件如果要和 kube-apiserver 通信的话,必须要有相关的认证...
使用OpenSSL生成Kubernetes证书
知行合一 止于至善
04-06 6766
kubernetes支持Base认证/Token认证/CA认证三种,这篇文章用于记录一下CA认证所需要的最简单程度的命令。 kubernetes构成 机器名 职能 host121 Kubernetes Master host122 Kubernetes Minion host123 Kubernetes Minion host12...
kubernetes手动生成证书
weixin_33826609的博客
06-19 953
默认情况下kubernetes在初始化集群时,证书有效期年限为1年。手动生成证书可以避免这个问题。拉取git代码gitclonehttps://github.com/fandaye/k8s-tls.git&&cdk8s-tls/2. 编辑配置文件 `apiserver.json` 文件 hosts 部分,添加对应kubernetes master 节...
k8s-01一键生成k8s证书
weixin_34406086的博客
10-02 1007
下面直接写成脚本就行放在/root/ssl下面直接执行就行 备注:此为master节点生成证书都在/opt/kubernetes/ssl下面,如果node节点想用直接scp过去 192.168.56.10为master 192.168.56.11node01 192.168.56.12node02 hosts也可以只写master节点的ip地址...
ubuntu 14.04使用easy-rsa创建CA并签发证书
雜貨鋪
12-13 5126
ubuntu 14.04 sudo apt-get update sudo apt-get install easy-rsa
openssl配置文件
健忘16的博客
02-15 1743
root@DESKTOP-JP3S3AN:/home/wsl# cat /usr/lib/ssl/openssl.cnf # # OpenSSL example configuration file. # This is mostly being used for generation of certificate requests. # # Note that you can include other files from the main configuration # file using th.
Kubernetes证书工作机制详解:制作与使用方式详解
本文将深入探讨Kubernetes证书的工作原理、如何生成证书以及其在集群中的应用。 Kubernetes是一个开源的容器编排引擎,它允许用户自动部署、扩展和管理容器化的应用程序。在Kubernetes中,组件之间的通信是通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Cloud孙文波

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值