kubernetes ApiServer CA证书续期

已于 2023-03-06 02:10:29 修改
阅读量456 收藏
点赞数
分类专栏: Openssl 文章标签: kubernetes CA 证书
于 2023-03-06 02:07:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43798031/article/details/129353758
版权
该文详细阐述了在Kubernetes环境中管理证书和密钥的过程,包括复制根证书、根私钥和apiserver证书,获取证书主题,创建扩展文件,生成CSR,签发新证书,以及使用openssl工具进行证书内容查看和有效性校验。此外,还介绍了openssl命令行工具的相关用法,如查看和处理私钥及公钥文件。
摘要由CSDN通过智能技术生成

目录

将根证书、根私钥、apiserver证书拷到一个目录下

获取subject

生成extfile

生成csr

查看新签发的csr

生成新证书

查看证书内容

校验证书是否有效 

常用命令 

将根证书、根私钥、apiserver证书拷到一个目录下

cp /etc/kubernetes/pki/ca.key /etc/kubernetes/pki/ca.crt /etc/kubernetes/pki/apiserver.crt /home/sunwenbo

获取subject

openssl x509 -text -noout -in ca.crt | grep "Subject:" | sed 's/Subject:/\//g;s/\,/\//;s/[[:space:]]//g'
subj=`openssl x509 -text -noout -in ca.crt | grep "Subject:" | sed 's/Subject:/\//g;s/\,/\//;s/[[:space:]]//g'`

生成extfile

cat > extfile.conf << EOF
distinguished_name = dn
[dn]
[v3_ext]
keyUsage = critical, digitalSignature, keyEncipherment, keyCertSign 
basicConstraints = critical, CA:TRUE
EOF

生成csr

根据获取到的subject  ca私钥  extfile 生成新的请求文件

v3_ext说明:实际上就是x.509 v3_ext (extension 扩展)证书主要是基于ITU X.509标准的一种数字证书,x.509标准定义了PKI(public key infrastructure)证书的格式。x.509证书主要是用来管理互联网通讯中的身份和安全。v3代表

简单来说,x.509证书就是基于x.509标准的PKI。指明了如何颁发和管理证书。

openssl req -new -key ca.key -subj "${subj}" -reqexts v3_ext  -config extfile.conf -out ca.csr

查看新签发的csr

openssl req -text -noout -in ca.csr

生成新证书

openssl x509 -req -days 36500 -in ca.csr -signkey ca.key  -set_serial  0 -extensions v3_ext -extfile extfile.conf -out ca1.crt

查看证书内容

openssl x509 -noout -text -in ca1.crt

校验证书是否有效 

 openssl verify -CAfile ca1.crt apiserver.crt

常用命令 

查看私钥内容 #以纯文本格式输出私钥内容
openssl rsa -in docker2.yidian.com.key  -text

#不输出私钥内容
openssl rsa -in docker2.yidian.com.key  -text -noout

#将生成私钥加密
openssl rsa -in docker2.yidian.com.key -des3 -passout pass:123456  -out docker2.yidian.com.key

#读取加密的私钥
openssl rsa -in docker2.yidian.com.key -passin pass:123456

#从私钥中提取公钥
openssl rsa -in docker2.yidian.com.key -passin pass:123456   -pubout -out public.key 

#读取公钥内容
openssl rsa  -pubin -in public.key       

#以文本格式输出公钥内容
openssl rsa -pubin -in public.key -text

#不输出公钥内容
openssl rsa -pubin -in public.key -text -noout    

check检测私钥文件的一致性,查看私钥文件被修改过。
openssl rsa -in docker2.yidian.com.key -check


查看crt证书的内容
openssl x509 -in apiserver.crt -text -noout 

查看csr证书的内容
openssl req -text -noout -in ca.csr

Cloud孙文波
关注
专栏目录
【云原生之kuberneteskubernetes集群的证书管理
jks212454的博客
10-15 524
【云原生之kuberneteskubernetes集群的证书管理
运维案例之记一次Kubernetes集群证书过期或延期操作处理实践指南
WeiyiGeek 唯一极客IT知识分享
02-06 690
在年后上班的第一天,我像往常一样,登录到K8S集群之中依次检查应用,在检查开发测试环境的k8s集群时,发现执行kubectl命令报证书过期错误,顿时心情都不好了,却也无可奈何,只能进行证书续签了,由于是高可用集群遇到了许多坑,为了方便自己以及广大的运维工作者,解决相关问题,遂整理了此篇文章。# 连接 Api-server 失败,报证书已过期不可用。2.实践环境# 集群版本# 集群节点# 论保存过程配置文件的重要性,在搭建k8s集群时建议备份资源清单。
重要提醒 | 手动轮换Rancher Kubernetes集群的证书
cenmeng8703的博客
07-01 1021
Kubernetes集群通常使用ssl证书来加密通信,Rancher会自动为集群生成证书。在Rancher v2.0.14、v2.1.9之前的版本,Rancher配置集群的自动生成证书的有效期为1年,这意味着如果您在大约1年前使用这些版本创建了Rancher配置集群,那么您需要尽快开始轮换证书,否则证书过期后集群将进入错误状态。轮换证书是一次性操作,新生成的证书有效期为10年...
k8s中的api serverca证书,可以和front proxy ca证书一样么?
weixin_30807779的博客
03-23 423
答案是: 绝对不可以! 因为请求先验证的是--requestheader-client-ca-fileCA 然后才是--client-ca-file. 。 那获取的用户名就会通不过了。 所以会影响K8S集群正常使用。 果然,上周五,我就遇到这种情况了。 只好重新生成另一个证书再试罗~~ 参考URL: ~~~~~~~~~~~~~~~~~~~~~~~~~~~ https:/...
k8s根ca证书最多10年调整为100年或任意时间
蛋疼的NICK
06-24 2741
Kubernetes 官方提供了 kubeadm 工具安装 kubernetes 集群,使用这个工具安装集群非常便捷,使部署和升级 Kubernetes 变得简单起来。不过该工具有点坑的就是,使用其安装的 kubernetes 集群的大部分证书有效期只有一年,需要在证书过期前,使用更新操作更新集群,使证书的有效期再续一年。如果忘记这个操作,那么在使用过程中证书到期将导致集群不可用,应用无法访问,急急忙忙解决也需要半天时间,这个问题是致命的。不过实际情况下,在现网环境中大部分人追求稳定,一般不会大改 Kube
k8s-18-api-server更换证书
weixin_33882452的博客
10-27 1088
1 目前证书是信任三个master ip地址在加一个[root@k8s-masterseversslbak]#cfssl-certinfo-certserver.pem { "subject":{ "common_name":"kubernetes", "country":"CN", "organization":"k8s", ...
k8s kubeadm高可用集群证书续期
ApexPredator的博客
06-14 2507
k8s kubeadm高可用集群证书续期
k8s组件证书续期
最新发布
xgw的专栏
02-20 330
K8S 各个组件需要与 api-server 进行通信,通信使用的证书都存放在 /etc/kubernetes/pki 路径下,由 kubeadm 生成的客户端证书在 1 年后到期,因此需要定时更新证书,否则证书到期会导致整个集群不可用。
Kubernetes在AI平台的落地实践
Docker的专栏
06-03 1266
中国电信翼支付一直致力于将容器及云原生技术在生产环境中落地,同时AI是目前互联网行业炙手可热的“明星”,无论是老牌巨头,还是流量新贵,都在大力研发AI技术,为自家的业务赋能,其中算法从调...
k8s证书修改为10年文件
06-13
这包括`apiserver`, `apiserver-kubelet-client`, `front-proxy-ca`, `front-proxy-client`, `etcd-server`, `etcd-peer`, `sa.key` 和 `sa.pub`等。 5. **滚动更新组件**:对于kubelet和controller manager等组件...
k8s(kubernetes证书续期
球球的博客
05-31 5668
简介 kubernetes集群上kubeadm 安装的证书默认为 1 年,注意原证书文件必须保留在服务器上才能做延期操作,否则就会重新生成,集群可能无法恢复,这里在证书快到期之前进行续期操作。 具体操作 查看证书到期时间 一般k8s证书文件都在/etc/kubernetes/pki/下 openssl x509 -noout -text -in /etc/kubernetes/pki/apiserver.crt 多个证书一起查看到期时间 for item in `find /etc/kubernetes/
编译kubeadm续签k8s1.22.0高可用集群证书100年
因上努力,果上随缘。但行好事,莫问前程。
04-26 1542
目录一、查看证书过期时间1.1 方式一1.2 方式二二、通过命令续期2.1 查看证书有效期2.2 备份原有数据2.3 备份证书2.4 更新证书2.5 确认证书有效期2.6 更新kubeconfig文件2.7 更新客户端证书2.8 重启相关的pod2.9 检查当前集群状态是否正常2.10 检查etcd集群状态三、编译源码kubeadm,证书时间自定义3.1 备份集群配置3.2 获取对应的kubeadm源码3.3 修改CA证书有效期3.4 修改其他证书有效期3.5 安装go环境进行编译3.6 go设置国内代理3
Kubernetes Kubeadm Kubelet 证书自动续签
Vic的博客
10-28 1661
• 工作节点:工作节点主要是指kubelet连接apiserver所需的客户端证书,这个证书由controller-manager组件自动颁发,默认是一年,如果到期,kubelet将无法使用过期的证书连接apiserver,从而导致无法正常工作,日志会给出证书过期错误(x509: certificate has expired or is not yet valid)(工作节点容易忽略掉证书有效期)容易过期的是ca证书派发出来的证书文件,这里的过期时间是客户端的证书。因为访问控制就是基于证书进行授权的。
Kubernetes集群更换证书(正常更新方法、和更新证书为99年)
m0_59308369的博客
12-14 7144
今天使用k8s集群发现报错。查看kubelet状态,发现无法启动, 查看docker服务,发现api-server也没用启动enabled;3s ago查看日志 ,发现报错找不到 bootstrap-kubelet.conf。
k8sv1.18.x版本更改证书时间
weixin_48505120的博客
01-22 871
kubernetes更改证书时间 使用kubeadm按照的k8s,所有的证书都是放在 /etc/kubernetes/pki这个目录下的,我们可以查看每个证书的时间,会发现ca证书除外,其他组件证书都是默认一年有效期,ca类型的证书的有效期为10年。 root@k8smaster1:~# kubeadm alpha certs check-expiration [check-expiration] Reading configuration from the cluster... [check-expira
升级K8S证书有效期为100年操作说明
数通畅联
01-21 4007
之前K8S集群默认使用1年期限,现在已不能满足实际需要,需要升级K8S证书有效期为100年。本文针对升级k8S证书有效期为100年的操作进行说明讲解。
k8s 证书过期解决
jiangbenchu的博客
11-16 9577
K8S CA证书是10年,但是组件证书的日期只有1年,为了证书一直可用状态需要更新,目前主流的一共有3种: 1、版本升级,只要升级就会让各个证书延期1年,官方设置1年有效期的目的就是希望用户在一年内能升级1次,详见:k8s升级 2、通过命令续期 (这种只能延长一年) 3、编译源码Kubeadm,设置10年 一、查看证书过期时间 vim test.sh for item in `find /etc/kubernetes/pki -maxdepth 2 -name "*.crt"`; do openssl x5
k8s 老集群二进制 ca证书过期解决过程
不忘初心,方得始终
02-28 1396
修改.kube/config文件中的certificate-authority-data 字段内容。3. 更新.kube/config 文件(如果有多个master的话,每个节点都需要替换)查看/etc/kubernetes/ssl/ca.pem 有效期。4. 重启etcd和kube-apiserver (必须重启)得到ca.pem证书base64编码后的内容。1. 备份原来的配置文件及证书。2. 重新颁发ca证书
三种监控 Kubernetes 集群证书过期方案
easylife206的专栏
12-01 1095
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !前言Kubernetes 中大量用到了证书, 比如 ca证书、以及 kubelet、apiserver、proxy、etcd等组件,还有 kubeconfig 文件。如果证书过期,轻则无法登录 Kubernetes 集群,重则整个集群异常。为了解决证书过期的问题,一般有以下几种方式:1.大幅延长证书有效期,短则 10...
Windows Server 2008 安装企业CA证书服务指南
"Windows Server 2008安装企业CA证书服务" Windows Server 2008中的企业CA证书颁发机构)服务是一个关键组件,它在网络安全中扮演着至关重要的角色,尤其是对于需要进行安全数据交换的企业环境。CA是负责签发和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Cloud孙文波

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值