k8s的ca以及相关证书签发流程

已于 2024-04-08 16:08:00 修改
阅读量1.1k 收藏 15
点赞数 13
分类专栏: Kurbernets 分布式 Linux 文章标签: kubernetes 容器 云原生
于 2024-04-08 16:07:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43845924/article/details/137511271
版权
分布式 同时被 3 个专栏收录
40 篇文章 0 订阅
订阅专栏
Linux
30 篇文章 0 订阅
订阅专栏
Kurbernets
7 篇文章 0 订阅
订阅专栏

k8s的ca以及相关证书签发流程

对于网站类的应用,网站管理员需要向权威证书签发机构(CA)申请证书,这通常需要花费一定的费用,也有非营利的证书签发机构,比如”Let’s Encrypt“可以为用户免费签发证书。但对于Kubernetes这类应用来讲,它通常部署在企业内部,其管理面组件不需要暴露到公网,所以就不需要向外部的证书签发机构申请证书,系统管理员就可以自已签发证书供内部使用。

本文通过介绍部分内部组件的ca证书签发流程,引导相关的证书签发过程。

1. kube-apiserver相关证书说明

本节我们使用简单的例子,介绍一下如何使用openssl签发证书,侧重介绍签发证书流程,具体证书配置还需要管理员根据实际情况填写。以kube-apiserver为例,它的启动参数有3处需要配置证书:

--client-ca-file=/yourdirectory/ca.crt
--tls-cert-file=/yourdirectory/server.crt
--tls-private-key-file=/yourdirectory/server.key

其中

  • ca.crt即CA的证书,通常Kubernetes各个组件都配置相同的CA证书,
  • server.crt即kube-apiserver的证书,它将在与客户端建立连接时发送给客户端,由客户端进行验证
  • server.key即kube-apiserver的私钥,它不会发送给客户端,仅用于解密客户端发送的数据。

为了便于理解,我们假设有两位管理员参与证书签发流程,一位CA管理员负责管理CA的凭证并为他人提供签发证书的服务,一位管理员负责为kube-apiserver申请证书。

整体生成证书的流程如下

生成
生成
生成
生成
生成
生成
生成
生成
生成
生成
生成
生成
生成
ca凭证
ca私钥
ca证书
kube-apiserver凭证
kube-schedule-manager凭证
kube-controller-manager凭证
其他组件凭证
kube-apisever私钥
kube-apiserver证书请求
kube-apiserver证书
kube-schedule-manager私钥
kube-schedule-manager证书请求
kube-schedule-manager证书
kube-controller-manager私钥
kube-controller-manager证书请求
kube-controller-manager证书
其他组件私钥
其他组件证书请求
其他组件证书

2. 生成CA凭证

CA凭证包括一个私钥和证书,私钥由CA机构保存,不会对外公开,证书则是对外公开的。生成证书前面要先为CA机构创建一个私钥。

1.1. 生成CA私钥

使用openssl genrsa 命令便可以生成一个私钥:

openssl genrsa -out ca.key 2048

生成的私钥存在ca.key文件中,可以使用cat命令查看:

# ls
ca.key
# cat ca.key 
-----BEGIN RSA PRIVATE KEY-----
MIIEog...// 省略若干内容
-----END RSA PRIVATE KEY-----

在k8s环境中,应该相同的组件都是用相同的ca证书,从而形成统一的签发认证效果,否则可能会认证不通过

1.2. 生成CA证书

接着使用openssl req命令生成一个证书:

openssl req -x509 -new -nodes -key ca.key -subj "/CN=ca" -days 10000 -out ca.crt

生成的证书存在ca.crt文件中,可以使用openssl x509命令查看:

# openssl x509 -in ca.crt -text -noout
Certificate:
    Data:
        Version: 3 (0x2)
...

在这里插入图片描述
到此为止,CA管理员已经拥有了一个私钥和证书,可以为kube-apiserver签发证书了。

2. 生成kube-apiserver凭证

要申请证书,kube-apiserver管理员需要准备一个证书签发请求(申请书),为此,kube-apiserver管理员需要先为kube-apiserver生成一个私钥。

2.1. 生成kube-apiserver私钥

为kube-apiserver生成私钥与前面为CA生成私钥的方法完全一致,同样可以使用openssl genrsa完成:

openssl genrsa -out server.key 2048

生成的私钥存放于server.key中。

2.2. 生成kube-apiserver证书请求

接着kube-apiserver管理员需要使用kube-apiserver的私钥生成一个证书签发请求,才可以提交给CA管理员进行签发。

使用openssl req -new命令可以创建一个证书请求文件:

openssl req -new -key server.key -out server.csr

创建证书请求文件需要提供私钥,然后根据命令行提示输入相关信息,生成的请求文件存放于server.csr文件中。

2.3. 生成kube-apiserver证书

当kube-apiserver管理员创建好证书请求文件后,即可提次给CA管理员进行证书签发了。CA管理员在签发时 需要使用CA的私钥和证书:

openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 10000

Signature ok这样签发完的证书就会保存在server.crt文件中,可以通过命令查看证书的信息,如过期时间等。

openssl x509 -in apiserver.crt -text -noout

在这里插入图片描述

**关于证书及私钥文件,常常会使用约定俗成的文件名后缀。
*.key: 往往表示私钥文件;
.crt: certificate的缩写,往往表示证书文件;
.csr文件为证书签名请求文件,“Certificate Signing Request”的缩写,该文件内含公钥及公钥所属者信息,用于向CA机构申请签名。

3. 疑问和思考

其他证书的生成过程也可以参考kube-apiserver,整体流程都是相同的

4. 参考文档

暂无

李姓门徒
关注
  • 13
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
K8S---CA架构详解
qq_41768644的博客
07-28 113
k8s ca 证书架构图 cfssl
K8S集群证书监控ssl-exporter监控模板
01-14
原文链接:https://blog.csdn.net/m0_37814112/article/details/122349602
K8S学习指南(49)-k8s证书管理
最新发布
俞兆鹏的博客
12-30 2140
证书管理是指在Kubernetes集群中有效、安全地管理证书的过程。在集群中的各个组件之间以及与外部系统的通信中,通常使用证书来确保通信的安全性。证书管理包括证书的生成、颁发、更新和撤销等操作,以及相关的安全策略。用于加密和保护 Kubernetes API Server 与其他组件之间的通信。用于保护 etcd 数据库的通信,确保集群状态的安全。用于 kubelet 与 API Server 之间的通信,以及节点与控制平面之间的安全通信。
[云原生k8s] k8sCA证书创建和使用
weixin_71429850的博客
11-03 1816
Etcd 是一个分布式键值存储系统,Kubernetes 使用 Etcd 进行数据存储,所以先准备 一个 Etcd 数据库,为解决 Etcd 单点故障,应采用集群方式部署,这里使用 3 台组建集 群,可容忍 1 台机器故障,当然,你也可以使用 5 台组建集群,可容忍 2 台机器故障。ETCD_INITIAL_CLUSTER_STATE:加入集群的当前状态,new 是新集群,existing 表示加入 已有集群。ETCD_INITIAL_ADVERTISE_PEER_URLS:集群通告地址。
k8s--证书签发
yanghuadong的博客
02-09 1319
1.准备签发证书环境 运维主机 hdss-1-200.host.com上: 2.安装CFSSL 证书签发工具CFSSL:R1.2 cfssl下载地址https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 cfssl-json下载地址https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 cfssl-certinfo下载地址https://pkg.cfssl.org/R1.2/cfssl-certinfo_li...
[云原生k8s] k8sCA证书创建和使用及ETCD集群
m0_71521555的博客
11-03 1667
CA证书及ETCD集群部署
k8s 二进制安装证书签发 cfssl
03-21
k8s 二进制安装证书签发 cfssl
k8s证书修改为10年文件
06-13
k8s证书修改为10年文件
K8S主机Prometheus监控ssl证书资源清单及镜像文件
01-14
原文链接:https://blog.csdn.net/m0_37814112/article/details/122349602
k8s 证书延期脚本k8s 证书延期脚本
11-27
k8s 证书延期脚本k8s 证书延期脚本k8s 证书延期脚本k8s 证书延期脚本
K8s 集群上运行ca机制
码农崛起
08-19 1293
https://my.oschina.net/u/3874284/blog/3167230 现在我们上微博、或者网购,操作的其实不是眼前这台设备,而是一个又一个集群。通常,这样的集群拥有成百上千个节点,每个节点是一台物理机或虚拟机。集群一般远离用户,坐落在数据中心。为了让这些节点互相协作,对外提供一致且高效的服务,集群需要操作系统。Kubernetes 就是这样的操作系统。 比较 Kubernetes 和单机操作系统,Kubernetes 相当于内核,它负责集群软硬件资源管理,并对外提供统一的入口,用户
k8s证书签发
qq_38461429的博客
07-11 296
1.证书签发准备 准备签发证书环境 运维主机 HDSS7-200.host.com上: 安装CFSSL 证书签发工具CFSSL:R1.2 cfssl下载地址 cfssl-json下载地址 cfssl-certinfo下载地址 [root@hdss7-200 ~]# wgethttps://pkg.cfssl.org/R1.2/cfssl_linux-amd64-O /usr/bin/cfssl [root@hdss7-200 ~]# wgethttps://pkg.cfssl.org/R1.2/cfs...
kubernetesK8S)创建自签TLS证书
aiduo4911的博客
09-09 1233
TLS证书用于进行通信使用,组件需要证书关系如下: 组件 需要使用的证书 etcd ca.pem server.pem server-key.pem flannel ca.pem server.pem server-key.pem kube-apiserver ca.pem server.pem server-key.pem kubelet ca.pem c...
k8s自签证书
qq_42502583的博客
03-29 2304
k8s自签证书 通过使用cert-manager来管理证书 cert-manager将确保证书有效并且是最新的,并在到期前尝试在配置的时间续订证书 part1.安装CustomResourceDefinitions和cert-manager本身: ╭─[18:04:19] yup@YP-7-15 ~ ╰─$ kubectl apply -f https://github.com/jetstack/cert-manager/releases/download/v1.2.0/cert-manager.yaml
Kubernetes证书认证
Kubernetes中文社区
09-20 9198
今天让我们聊聊 Kubernetes 的公私钥和证书认证。 本文内容会提及如何根据需要对 CA、公私钥进行组织并对集群进行设置。 Kubernetes 的组件中有很多不同的地方可以放置证书之类的东西。在进行集群安装的时候,我感觉有一百多亿个不同的命令参数是用来设置证书、密钥的,真不明白是怎么弄到一起工作的。 当然了,没有一百亿那么多的参数,不过的确很多的。比如 API Serve
k8s证书自签笔记
wujianqinjian
11-23 746
k8s 证书自签 获取组件 wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 创建一个名为TLS的文件夹,并将组件文件移动到该文件夹下,同时添加可习性权限 #创建TLS文件夹 mkdir -p ~/TLS #移动文件 mv
k8s集群部署之签发证书
张存的博客
09-01 854
准备签发证书环境 10.4.7.200上执行 安装CFSSL wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -O /usr/bin/cfssl wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -O /usr/bin/cfssl-json wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -O /usr/bin/cfssl-ce
k8s中级篇-cert-manager+Let‘s Encrypt自动证书签发
mldong的博客
05-12 5613
前言 说到免费的SSL证书,大家首先想到的肯定是Let’s Encrypt,而使用过Let’s Encrypt的同学应该也知道,其有效期只有三个月,三个月后要重新续期。github上也有类似的脚本可以做到自动续期。那如果是在k8s上使用该免费证书,又如何操作的呢?这里cert-manager就派上用场了。 环境 主机名 ip 角色 mldong01 192.168.0.245 master mldong02 192.168.0.54 node01 mldong03 192.168.0
k8s签发ssl证书
11-11
下面是使用CA证书签发Kubernetes证书的步骤: 1. 创建CA证书 ```bash # 创建CA私钥 openssl genrsa -out ca.key 2048 # 创建CA证书签名请求 openssl req -new -key ca.key -subj "/CN=kubernetes-ca" -out ca.csr...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值