kubernetes ApiServer CA证书续期

已于 2023-03-06 02:10:29 修改
阅读量260 收藏
点赞数
分类专栏: Openssl 文章标签: kubernetes CA 证书
于 2023-03-06 02:07:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43798031/article/details/129353758
版权
该文详细阐述了在Kubernetes环境中管理证书和密钥的过程,包括复制根证书、根私钥和apiserver证书,获取证书主题,创建扩展文件,生成CSR,签发新证书,以及使用openssl工具进行证书内容查看和有效性校验。此外,还介绍了openssl命令行工具的相关用法,如查看和处理私钥及公钥文件。
摘要由CSDN通过智能技术生成

目录

将根证书、根私钥、apiserver证书拷到一个目录下

获取subject

生成extfile

生成csr

查看新签发的csr

生成新证书

查看证书内容

校验证书是否有效 

常用命令 

将根证书、根私钥、apiserver证书拷到一个目录下

cp /etc/kubernetes/pki/ca.key /etc/kubernetes/pki/ca.crt /etc/kubernetes/pki/apiserver.crt /home/sunwenbo

获取subject

openssl x509 -text -noout -in ca.crt | grep "Subject:" | sed 's/Subject:/\//g;s/\,/\//;s/[[:space:]]//g'
subj=`openssl x509 -text -noout -in ca.crt | grep "Subject:" | sed 's/Subject:/\//g;s/\,/\//;s/[[:space:]]//g'`

生成extfile

cat > extfile.conf << EOF
distinguished_name = dn
[dn]
[v3_ext]
keyUsage = critical, digitalSignature, keyEncipherment, keyCertSign 
basicConstraints = critical, CA:TRUE
EOF

生成csr

根据获取到的subject  ca私钥  extfile 生成新的请求文件

v3_ext说明:实际上就是x.509 v3_ext (extension 扩展)证书主要是基于ITU X.509标准的一种数字证书,x.509标准定义了PKI(public key infrastructure)证书的格式。x.509证书主要是用来管理互联网通讯中的身份和安全。v3代表

简单来说,x.509证书就是基于x.509标准的PKI。指明了如何颁发和管理证书。

openssl req -new -key ca.key -subj "${subj}" -reqexts v3_ext  -config extfile.conf -out ca.csr

查看新签发的csr

openssl req -text -noout -in ca.csr

生成新证书

openssl x509 -req -days 36500 -in ca.csr -signkey ca.key  -set_serial  0 -extensions v3_ext -extfile extfile.conf -out ca1.crt

查看证书内容

openssl x509 -noout -text -in ca1.crt

校验证书是否有效 

 openssl verify -CAfile ca1.crt apiserver.crt

常用命令 

查看私钥内容 #以纯文本格式输出私钥内容
openssl rsa -in docker2.yidian.com.key  -text

#不输出私钥内容
openssl rsa -in docker2.yidian.com.key  -text -noout

#将生成私钥加密
openssl rsa -in docker2.yidian.com.key -des3 -passout pass:123456  -out docker2.yidian.com.key

#读取加密的私钥
openssl rsa -in docker2.yidian.com.key -passin pass:123456

#从私钥中提取公钥
openssl rsa -in docker2.yidian.com.key -passin pass:123456   -pubout -out public.key 

#读取公钥内容
openssl rsa  -pubin -in public.key       

#以文本格式输出公钥内容
openssl rsa -pubin -in public.key -text

#不输出公钥内容
openssl rsa -pubin -in public.key -text -noout    

check检测私钥文件的一致性,查看私钥文件被修改过。
openssl rsa -in docker2.yidian.com.key -check


查看crt证书的内容
openssl x509 -in apiserver.crt -text -noout 

查看csr证书的内容
openssl req -text -noout -in ca.csr

Cloud孙文波
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Kubernetes中的证书工作机制详解
11-29
Kubernetes 中,每个组件都可能需要服务器端证书(含公钥和私钥)、客户端证书(同样含公钥和私钥)以及相应的 CA证书来验证对方的身份。 - 服务器端证书:证明服务器身份的数字证书,包含服务器的公钥和身份...
k8s kubeadm高可用集群证书续期
ApexPredator的博客
06-14 2435
k8s kubeadm高可用集群证书续期
k8s(kubernetes证书续期
球球的博客
05-31 5519
简介 kubernetes集群上kubeadm 安装的证书默认为 1 年,注意原证书文件必须保留在服务器上才能做延期操作,否则就会重新生成,集群可能无法恢复,这里在证书快到期之前进行续期操作。 具体操作 查看证书到期时间 一般k8s证书文件都在/etc/kubernetes/pki/下 openssl x509 -noout -text -in /etc/kubernetes/pki/apiserver.crt 多个证书一起查看到期时间 for item in `find /etc/kubernetes/
编译kubeadm续签k8s1.22.0高可用集群证书100年
因上努力,果上随缘。但行好事,莫问前程。
04-26 1011
目录一、查看证书过期时间1.1 方式一1.2 方式二二、通过命令续期2.1 查看证书有效期2.2 备份原有数据2.3 备份证书2.4 更新证书2.5 确认证书有效期2.6 更新kubeconfig文件2.7 更新客户端证书2.8 重启相关的pod2.9 检查当前集群状态是否正常2.10 检查etcd集群状态三、编译源码kubeadm,证书时间自定义3.1 备份集群配置3.2 获取对应的kubeadm源码3.3 修改CA证书有效期3.4 修改其他证书有效期3.5 安装go环境进行编译3.6 go设置国内代理3
Kubernetes Kubeadm Kubelet 证书自动续签
Vic的博客
10-28 1595
• 工作节点:工作节点主要是指kubelet连接apiserver所需的客户端证书,这个证书由controller-manager组件自动颁发,默认是一年,如果到期,kubelet将无法使用过期的证书连接apiserver,从而导致无法正常工作,日志会给出证书过期错误(x509: certificate has expired or is not yet valid)(工作节点容易忽略掉证书有效期)容易过期的是ca证书派发出来的证书文件,这里的过期时间是客户端的证书。因为访问控制就是基于证书进行授权的。
Kubernetes集群更换证书(正常更新方法、和更新证书为99年)
m0_59308369的博客
12-14 6848
今天使用k8s集群发现报错。查看kubelet状态,发现无法启动, 查看docker服务,发现api-server也没用启动enabled;3s ago查看日志 ,发现报错找不到 bootstrap-kubelet.conf。
使用OpenSSL生成Kubernetes证书的介绍
09-30
总结起来,使用OpenSSL生成Kubernetes证书涉及多个步骤,包括创建私钥、CA证书、服务器私钥、CSR以及最终的服务器证书。了解并熟练掌握这一过程对于管理Kubernetes的安全性至关重要。在实际操作中,可能还需要根据...
OneNet MQTT 接入CA证书
09-30
OneNet MQTT 接入CA证书
windows server 2012CA证书服务器安装和配置
最新发布
10-19
Windows Server 2012 CA 证书服务器安装和配置 Windows Server 2012 CA 证书服务器安装和配置是 windows 服务器中的一项重要功能,用于管理和颁发数字证书,以确保网络通信的安全性和身份验证。下面是 Windows ...
k8s根ca证书最多10年调整为100年或任意时间
蛋疼的NICK
06-24 2651
Kubernetes 官方提供了 kubeadm 工具安装 kubernetes 集群,使用这个工具安装集群非常便捷,使部署和升级 Kubernetes 变得简单起来。不过该工具有点坑的就是,使用其安装的 kubernetes 集群的大部分证书有效期只有一年,需要在证书过期前,使用更新操作更新集群,使证书的有效期再续一年。如果忘记这个操作,那么在使用过程中证书到期将导致集群不可用,应用无法访问,急急忙忙解决也需要半天时间,这个问题是致命的。不过实际情况下,在现网环境中大部分人追求稳定,一般不会大改 Kube
k8s 老集群二进制 ca证书过期解决过程
不忘初心,方得始终
02-28 1307
修改.kube/config文件中的certificate-authority-data 字段内容。3. 更新.kube/config 文件(如果有多个master的话,每个节点都需要替换)查看/etc/kubernetes/ssl/ca.pem 有效期。4. 重启etcd和kube-apiserver (必须重启)得到ca.pem证书base64编码后的内容。1. 备份原来的配置文件及证书。2. 重新颁发ca证书
三种监控 Kubernetes 集群证书过期方案
easylife206的专栏
12-01 1026
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !前言Kubernetes 中大量用到了证书, 比如 ca证书、以及 kubelet、apiserver、proxy、etcd等组件,还有 kubeconfig 文件。如果证书过期,轻则无法登录 Kubernetes 集群,重则整个集群异常。为了解决证书过期的问题,一般有以下几种方式:1.大幅延长证书有效期,短则 10...
k8s 证书过期解决
jiangbenchu的博客
11-16 9463
K8S CA证书是10年,但是组件证书的日期只有1年,为了证书一直可用状态需要更新,目前主流的一共有3种: 1、版本升级,只要升级就会让各个证书延期1年,官方设置1年有效期的目的就是希望用户在一年内能升级1次,详见:k8s升级 2、通过命令续期 (这种只能延长一年) 3、编译源码Kubeadm,设置10年 一、查看证书过期时间 vim test.sh for item in `find /etc/kubernetes/pki -maxdepth 2 -name "*.crt"`; do openssl x5
重要提醒 | 手动轮换Rancher Kubernetes集群的证书
cenmeng8703的博客
07-01 1016
Kubernetes集群通常使用ssl证书来加密通信,Rancher会自动为集群生成证书。在Rancher v2.0.14、v2.1.9之前的版本,Rancher配置集群的自动生成证书的有效期为1年,这意味着如果您在大约1年前使用这些版本创建了Rancher配置集群,那么您需要尽快开始轮换证书,否则证书过期后集群将进入错误状态。轮换证书是一次性操作,新生成的证书有效期为10年...
k8sv1.18.x版本更改证书时间
weixin_48505120的博客
01-22 862
kubernetes更改证书时间 使用kubeadm按照的k8s,所有的证书都是放在 /etc/kubernetes/pki这个目录下的,我们可以查看每个证书的时间,会发现ca证书除外,其他组件证书都是默认一年有效期,ca类型的证书的有效期为10年。 root@k8smaster1:~# kubeadm alpha certs check-expiration [check-expiration] Reading configuration from the cluster... [check-expira
k8s-18-api-server更换证书
weixin_33882452的博客
10-27 1084
1 目前证书是信任三个master ip地址在加一个[root@k8s-masterseversslbak]#cfssl-certinfo-certserver.pem { "subject":{ "common_name":"kubernetes", "country":"CN", "organization":"k8s", ...
升级K8S证书有效期为100年操作说明
数通畅联
01-21 3988
之前K8S集群默认使用1年期限,现在已不能满足实际需要,需要升级K8S证书有效期为100年。本文针对升级k8S证书有效期为100年的操作进行说明讲解。
k8s中的api serverca证书,可以和front proxy ca证书一样么?
weixin_30807779的博客
03-23 419
答案是: 绝对不可以! 因为请求先验证的是--requestheader-client-ca-fileCA 然后才是--client-ca-file. 。 那获取的用户名就会通不过了。 所以会影响K8S集群正常使用。 果然,上周五,我就遇到这种情况了。 只好重新生成另一个证书再试罗~~ 参考URL: ~~~~~~~~~~~~~~~~~~~~~~~~~~~ https:/...
kubernetes apiserver认证
mark's technic world
02-12 2732
kubernetes认证Kubernetes集群的操作可以通过apiserver来进行操作,kubectl命令最终也是调用的apiserver,如果想要获取对apiserver进行操作,需要先通过其认证api-server的认证方式:基本认证:basic-auth--basic-auth-file=/path/to/basic-auth.csv在basic-auth.csv中拥有以列为单位的认证信...
如何生成kube-apiserver证书
06-12
要生成kube-apiserver证书,您需要使用以下步骤: 1. 生成证书签名请求(Certificate Signing Request,CSR): ``` openssl genrsa -out apiserver.key 2048 openssl req -new -key apiserver.key -out apiserver.csr -subj "/CN=kube-apiserver" ``` 这将生成一个2048位的私钥文件`apiserver.key`和一个CSR文件`apiserver.csr`,其中`/CN=kube-apiserver`表示证书的通用名称为`kube-apiserver`。 2. 创建证书签名请求的配置文件: ``` cat > csr.conf <<EOF [req] req_extensions = v3_req distinguished_name = req_distinguished_name [req_distinguished_name] [ v3_req ] basicConstraints = CA:FALSE keyUsage = digitalSignature, keyEncipherment extendedKeyUsage = serverAuth subjectAltName = @alt_names [alt_names] DNS.1 = localhost DNS.2 = kubernetes DNS.3 = kubernetes.default DNS.4 = kubernetes.default.svc DNS.5 = kubernetes.default.svc.cluster.local IP.1 = 10.96.0.1 IP.2 = <apiserver_ip_address> EOF ``` 其中`<apiserver_ip_address>`为kube-apiserver所在节点的IP地址。 3. 使用集群CA证书签名CSR,生成kube-apiserver证书: ``` openssl x509 -req -in apiserver.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out apiserver.crt -days 365 -extensions v3_req -extfile csr.conf ``` 这将使用CA证书`ca.crt`和私钥`ca.key`签名CSR文件`apiserver.csr`,并生成一个有效期为365天的kube-apiserver证书文件`apiserver.crt`。 4. 将证书和私钥文件复制到kube-apiserver节点的相应目录中。 ``` sudo mkdir -p /etc/kubernetes/pki/apiserver/ sudo cp apiserver.crt apiserver.key /etc/kubernetes/pki/apiserver/ ``` 这将在kube-apiserver节点的`/etc/kubernetes/pki/apiserver/`目录中创建一个证书目录,并将生成的证书和私钥文件复制到该目录中。 现在,您已经成功地生成了kube-apiserver证书,可以将其用于Kubernetes集群中。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Cloud孙文波

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值