OpenShift 4 - 查看关键证书到期日期

已于 2022-04-09 08:05:00 修改
阅读量2.2k 收藏 2
点赞数
分类专栏: OpenShift 4 安全 certificate 文章标签: openshift kubernetes
于 2021-05-22 22:31:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/117089091
版权
OpenShift 4 同时被 3 个专栏收录
271 篇文章 76 订阅
订阅专栏
安全
76 篇文章 6 订阅
订阅专栏
certificate
5 篇文章 0 订阅
订阅专栏

OpenShift 4.x HOL教程汇总
说明:本文已经在OpenShift 4.7环境中验证

文章目录

API 用证书

External API 用证书

$ oc get secret external-loadbalancer-serving-certkey -n openshift-kube-apiserver -o yaml -o=custom-columns=":.data.tls\.crt" | tail -1 | base64 -d | openssl x509 -noout -dates

或者

$ oc get secret external-loadbalancer-serving-certkey -n openshift-kube-apiserver -o jsonpath='{.metadata.annotations}' | jq '"auth.openshift.io/certificate-not-before   "+."auth.openshift.io/certificate-not-before","auth.openshift.io/certificate-not-after    "+."auth.openshift.io/certificate-not-after"'

或者

$ ssh core@master_hostname
$ sudo -i
$ openssl x509 -in  /etc/kubernetes/static-pod-resources/kube-apiserver-certs/secrets/external-loadbalancer-serving-certkey/tls.crt -noout -dates

Internal API 用证书

$ oc get secret -n openshift-kube-apiserver internal-loadbalancer-serving-certkey -o yaml -o=custom-columns=":.data.tls\.crt" | tail -1 | base64 -d | openssl x509 -noout -dates

或者

$ oc get secret internal-loadbalancer-serving-certkey -n openshift-kube-apiserver -o jsonpath='{.metadata.annotations}' | jq '"auth.openshift.io/certificate-not-before   "+."auth.openshift.io/certificate-not-before","auth.openshift.io/certificate-not-after    "+."auth.openshift.io/certificate-not-after"'

或者

$ ssh core@master_hostname
$ sudo -i
$ openssl x509 -in  /etc/kubernetes/static-pod-resources/kube-apiserver-certs/secrets/internal-loadbalancer-serving-certkey/tls.crt -noout -dates

Kube Controller Manager

Client 端用证书

$ oc get secret kube-controller-manager-client-cert-key -n openshift-kube-controller-manager -o=custom-columns=":.data.tls\.crt" | tail -1 | base64 -d | openssl x509 -noout -dates

或者

$ oc get secret kube-controller-manager-client-cert-key -n openshift-kube-controller-manager -o jsonpath='{.metadata.annotations}' | jq '"auth.openshift.io/certificate-not-before   "+."auth.openshift.io/certificate-not-before","auth.openshift.io/certificate-not-after    "+."auth.openshift.io/certificate-not-after"'

或者

$ ssh core@master_hostname
$ sudo -i
$ openssl x509 -in /etc/kubernetes/static-pod-resources/kube-controller-manager-certs/secrets/kube-controller-manager-client-cert-key/tls.crt -noout -dates

Server 端用证书

$ oc get secret serving-cert -n openshift-kube-controller-manager -o=custom-columns=":.data.tls\.crt" | tail -1 | base64 -d | openssl x509 -noout -dates

或者

$ ssh core@master_hostname
$ sudo -i
$ openssl x509 -in /etc/kubernetes/static-pod-resources/kube-controller-manager-pod-xy/secrets/serving-cert/tls.crt -noout -dates

Kube Scheduler

Client 端用证书

$ oc get secret kube-scheduler-client-cert-key -n openshift-kube-scheduler -o=custom-columns=":.data.tls\.crt" | tail -1 | base64 -d | openssl x509 -noout -dates

或者

$ oc get secret kube-scheduler-client-cert-key -n openshift-kube-scheduler -o jsonpath='{.metadata.annotations}' | jq '"auth.openshift.io/certificate-not-before   "+."auth.openshift.io/certificate-not-before","auth.openshift.io/certificate-not-after    "+."auth.openshift.io/certificate-not-after"'

或者

$ ssh core@master_hostname
$ sudo -i
$ openssl x509 -in /etc/kubernetes/static-pod-resources/kube-scheduler-certs/secrets/kube-scheduler-client-cert-key/tls.crt -noout -dates

Server 端用证书

$ oc get secret serving-cert -n openshift-kube-scheduler -o=custom-columns=":.data.tls\.crt" | tail -1 | base64 -d | openssl x509 -noout -dates

或者

$ ssh core@master_hostname
$ sudo -i
$ openssl x509 -in /etc/kubernetes/static-pod-resources/kube-scheduler-pod-xy/secrets/serving-cert/tls.crt -noout -dates

ETCD 用证书

ETCD Peer 证书

for name in $(oc get node -o custom-columns=NAME:metadata.name | grep master)
do
echo etcd-peer-$name  
oc get secret etcd-peer-$name -n openshift-etcd -o=custom-columns=":.data.tls\.crt" | tail -1 | base64 -d | openssl x509 -noout -dates
done

或者

$ ssh core@master_hostname
$ sudo -i
$ for i in /etc/kubernetes/static-pod-resources/etcd-certs/secrets/etcd-all-peer/*.crt; do echo $i; openssl x509 -in $i -noout -dates; done

ETCD Serving 证书

for name in $(oc get node -o custom-columns=NAME:metadata.name | grep master)
do
echo etcd-serving-$name  
oc get secret etcd-serving-$name -n openshift-etcd -o=custom-columns=":.data.tls\.crt" | tail -1 | base64 -d | openssl x509 -noout -dates
done


$ ssh core@master_hostname
$ sudo -i
$ for i in /etc/kubernetes/static-pod-resources/etcd-certs/secrets/etcd-all-serving/*.crt; do echo $i; openssl x509 -in $i -noout -dates; done

ETCD Serving Metrics 证书

for name in $(oc get node -o custom-columns=NAME:metadata.name | grep master)
do
echo etcd-serving-metrics-$name  
oc get secret etcd-serving-metrics-$name -n openshift-etcd -o=custom-columns=":.data.tls\.crt" | tail -1 | base64 -d | openssl x509 -noout -dates
done


$ ssh core@master_hostname
$ sudo -i
$ for i in /etc/kubernetes/static-pod-resources/etcd-certs/secrets/etcd-all-serving-metrics/*.crt; do echo $i; openssl x509 -in $i -noout -dates; done

Node 证书

在所有节点查看kubelet的证书。

$ ssh core@all_hostname
$ sudo -i
for cert in /var/lib/kubelet/pki/kubelet-{client,server}-current.pem; do echo $cert; openssl x509 -in $cert -noout -dates; done

Ingress 证书

$ oc get secret router-certs-default -n openshift-ingress -o=custom-columns=":.data.tls\.crt" | tail -1 | base64 -d | openssl x509 -noout -dates

Service CA 签发用证书

The service CA certificate, which issues the service certificates, is valid for 26 months and is automatically rotated when there is less than six months validity left. After rotation, the previous service CA configuration is still trusted until its expiration.

$ oc get secrets signing-key -n openshift-service-ca -o template='{{index .data "tls.crt"}}' | base64 -d | openssl x509 -noout -dates

To check the expiry date of all service-signer certs:

$ oc get secrets -A -o custom-columns=SERVICENAME:.metadata.name,NAMESPACE:.metadata.namespace,EXPIRY:.metadata.annotations."service\.beta\.openshift\.io/expiry" | grep -v "<none>"

列出将在1年内过期的证书

列出将在1年内过期的证书

$ yum install util-linux jq -y
$ oc get secret -A -o json | jq -r ' .items[] | select( .metadata.annotations."auth.openshift.io/certificate-not-after" | .!=null and fromdateiso8601<='$( date --date='+1year' +%s )') | "expiration: \( .metadata.annotations."auth.openshift.io/certificate-not-after" ) \( .metadata.namespace ) \( .metadata.name )" ' | sort | column -t
expiration:  2021-06-13T13:11:13Z  openshift-kube-apiserver                    control-plane-node-admin-client-cert-key
expiration:  2021-06-13T13:11:14Z  openshift-config-managed                    kube-controller-manager-client-cert-key
expiration:  2021-06-13T13:11:14Z  openshift-config-managed                    kube-scheduler-client-cert-key
expiration:  2021-06-13T13:11:14Z  openshift-kube-apiserver                    check-endpoints-client-cert-key
expiration:  2021-06-13T13:11:14Z  openshift-kube-apiserver                    external-loadbalancer-serving-certkey
expiration:  2021-06-13T13:11:14Z  openshift-kube-apiserver                    internal-loadbalancer-serving-certkey
expiration:  2021-06-13T13:11:14Z  openshift-kube-apiserver                    kubelet-client
expiration:  2021-06-13T13:11:14Z  openshift-kube-apiserver                    kubelet-client-10
expiration:  2021-06-13T13:11:14Z  openshift-kube-apiserver                    kubelet-client-3
expiration:  2021-06-13T13:11:14Z  openshift-kube-apiserver                    kubelet-client-5
expiration:  2021-06-13T13:11:14Z  openshift-kube-apiserver                    kubelet-client-6
expiration:  2021-06-13T13:11:14Z  openshift-kube-apiserver                    kubelet-client-7
expiration:  2021-06-13T13:11:14Z  openshift-kube-apiserver                    kubelet-client-8
expiration:  2021-06-13T13:11:14Z  openshift-kube-apiserver                    kubelet-client-9
expiration:  2021-06-13T13:11:14Z  openshift-kube-apiserver                    localhost-serving-cert-certkey
expiration:  2021-06-13T13:11:14Z  openshift-kube-controller-manager           kube-controller-manager-client-cert-key
。。。

更新将在1年内过期的证书

$ oc get secret -A -o json | jq -r '.items[] | select(.metadata.annotations."auth.openshift.io/certificate-not-after" | .!=null and fromdateiso8601<='$( date --date='+1year' +%s )') | "-n \(.metadata.namespace) \(.metadata.name)"' | xargs -n3 oc patch secret -p='{"metadata": {"annotations": {"auth.openshift.io/certificate-not-after": null}}}'

参考

https://access.redhat.com/solutions/5925951

dawnsky.liu
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
k8s证书过期处理方案
11-17
k8s默认的证书有效期为一年,在实际生产中,经常遇到证书过期导致的节点故障问题。 K8S集群证书过期后,会导无法创建Pod,通过kubectl get nodes也无法获取信息,甚至dashboard也无法访问。 执行命令发现报错: Unable to connect to the server: x509: certificate has expired or is not yet valid 查看K8S的日志: Part of the existing bootstrap client certificate is expired: 2022-11-9 9:29:04 +0000 UT 这是说明k8s使用的证书过期了,k8s自带证书是一年的有效期。所以我们解决问题的办法就是更换证书kubernetes证书过期处理流程适用于单master或多master的kubeadm安装部署方式。
openshift4-vmware-upi:支持在VMware上自动安装OpenShift 4的Ansible手册和文档
01-31
在VMware上自动配置OpenShift 4.6 该存储库包含一组手册,以帮助促进OpenShift 4.6在VMware上的部署。 OpenShift 4.6的更改 请注意,如果未对append bootstrap配置进行一些修改,则此安装程序将无法与OpenShift的早期版本一起使用。 之所以需要进行此更改,是因为OpenShift 4.6现在使用点火规范v3(OpenShift的早期版本使用v2)。 有关更改的更多详细信息,请参见。 背景 这是在RHV上自动化OpenShift 4部署的的延续。 目标是自动化辅助节点(用于点火伪像的Web服务器,外部LB和DHCP)的配置,并在VMware上自动部署Red Hat CoreOS(RHCOS)节点。 特定自动化 在IdM中创建所有SRV,A和PTR记录 部署httpd服务器以承载安装工件 HAProxy的部署和适用的配置 部署dhcpd和适用的固定主机条目(静态分配) 上载RHCOS OVA模板 在VMware上部署和配置RHCOS VM 有序启动虚拟机 要求 要利用本指南中的自动化功能,您需要带以下内容: VMware
RHCOS(Red Hat Enterprise Linux CoreOS )简介
justlpf的专栏
01-10 1151
由于 OpenShift Container Platform 中的 RHCOS 系统被设计为通过 OpenShift Container Platform 集群来进行全面管理,因此不建议直接修改 RHCOS 机器。为了调试,您可以对 RHCOS 机器集群进行有限的直接访问,但您不应该直接配置 RHCOS 系统。RHCOS 的设计思想是,在需要最小用户配置的情况下在 OpenShift Container Platform 集群中进行部署。之后,可以使用机器配置来提供 Ignition 配置。
RedHat OpenShift QuickStart 1.1 OpenShift基础
Grey Star
02-06 500
openshift 提供了命令行工具和web可视化页面,这些工具通过REST API去和openshift交互 一、开始为开发人员使用OpenShift   1. 探索命令行   2. 探索web console   3. 部署一个docker镜像   4. 扩展应用实例   5. 路由HTTP请求   6. 从源代码构建 二、登陆到OpenShift集群   1. 通过web console...
Openshift4 安装(参考)
justlpf的专栏
11-16 1834
准备了离线安装 OCP 所需要的离线资源,包括安装镜像、所有样例和中的所有 RedHat Operators。本文就开始正式安装 OCP(Openshift Container Platform) 集群,包括DNS 解析、负载均衡配置、ignition配置文件生成和集群部署。OCP安装期间需要用到多个文件:安装配置文件、Kubernetes 部署清单、Ignition 配置文件(包含了 machine types)。Ignition安装程序使用这些Ignition。
openshift3.11更新router证书
haiziccc的专栏
07-14 1361
本文主要参考https://docs.openshift.com/container-platform/3.11/install_config/redeploying_certificates.html#redeploying-custom-registry-or-router-certificates,但实际执行过程中遇到不少问题,下面下面介绍下实际执行步骤: 1.申请证书 openssl req -new -newkey rsa:2048 -sha256 -nodes -subj '/C=CN..
k8s 证书过期更新
瞅自己都上火的博客
11-07 155
首先查看当前证书到期时间 for item in `find /etc/kubernetes/pki -maxdepth 2 -name "*.crt"`;do openssl x509 -in $item -text -noout| grep Not;echo ======================$item===================;done 备份过期证书
OpenShift简介(二)
justlpf的专栏
08-30 8795
参考文章: OpenShift简介_虹科云科技的博客-CSDN博客_openshift架构详解openshift是红帽的云开发平台即服务(PaaS),底层以Docker作为容器引擎驱动,以k8s作为容器编排引擎组件,openshift提供了开发语言、中间件、自动化流程工具及界面等元素,提供了一套完整的基于容器的应用云平台。OKD是 Kubernetes 的一个发行版,针对持续应用程序开发和多租户部署进行了优化。OKD 还充当上游代码库,红帽 OpenShift Online和红帽 OpenShift 容器平
OpenShift4 - 使用 Service CA 证书增加内部通讯安全
多恩斯基的博客
05-22 1869
OpenShift 4.x HOL教程汇总》 文章目录Service Certificate的作用Service CA Operator、Service CA 运行环境Service CA 构成组件Serving Cert SignerConfigMap cabundle injectorGeneric cabundle injector为Service生成包含证书的Secret参考 Service Certificate的作用 无论是在应用服务之间还是OpenShift内部服务之间,在 OpenShif
如何查看 OCP 系统中所有证书的有效期
随笔记录-分享&记忆
02-21 2062
如何查看 OCP 系统中所有证书的有效期1. 背景2. 环境3. 问题4. 参考解决方案 1. 背景 工作遇到的类似问题,参考官网进行收集归档,进行笔记形式的记录,便于后续查看。 2. 环境 OpenShift Container Platform (OCP) 4.5 3. 问题 如何查看 OCP 系统中所有证书的有效期 ? 4. 参考解决方案 获取当前集群证书有效期的时间 $ oc get secret -A -o json | jq -r '.items[] | select(.metadata.a
OpenShift4-tools:OpenShift 4工具
04-08
OpenShift4-工具 安装工具等。OpenShift 4集群。 目录 集群实用程序 oinst :OpenShift 4.x安装程序包装器,当前适用于AWS,GCE和libvirt。 您可能需要安装kubechart(github.com/sjenning/kubechart/kubechart)...
openshift4-upi-openstack
05-08
OpenStack上的OpenShift 4 UPI Ansible角色,用于将OpenShift 4的用户提供的基础架构安装方法的必要任务自动化到自定义OpenStack 基于原始的变数安装的默认变量位于defaults/main.yml执照BSD
openshift4-rhv-upi:支持使用Baremetal UPI在RHV上自动安装OpenShift 4的Ansible手册和文档
02-02
使用Baremetal UPI在RHV上配置OpenShift 4.4 该存储库包含一组手册,以帮助促进OpenShift 4.4在RHV上的部署。 背景 该存储库中的剧本/脚本应该可以帮助您自动化RHV上的绝大多数OpenShift 4.4 UPI部署。 请务必阅读...
openshift4-disconnected:断开安装OCP 4的工具
03-31
OpenShift 4断开连接 目录 目的 该存储库包含用于在空气间隙环境中部署OpenShift 4集群的脚本,ansible角色和其他工具。 该存储库已经过测试,可以用于OpenShift 4.3、4.4和4.5的安装。 Internet连接环境中的帮助...
OpenShift 4 - 利用 File Integrity Operator 实现对集群节点进行入侵检测(附视频)
多恩斯基的博客
03-05 4693
OpenShift 的 File Integrity Operator 可以在集群节点上持续地运行文件完整性检查。它部署了一个 DaemonSet,在每个节点上初始化并运行有特权的AIDE(Advanced Intrusion Detection Environment - 高级入侵检测环境)容器,提供自 DaemonSet 初始运行以后被修改的文件记录。
OpenShift 4 - DevSecOps (1) - 安装 DevOps 环境
多恩斯基的博客
04-01 4199
OpenShift 4.x HOL教程汇总》 说明:本文已经在OpenShift 4.10环境中验证 本文创建的环境是《OpenShift Security (17) - 在 DevSecOps 过程中,借助 RHACS 发现并修复安全隐患 (视频)》演示 文章目录安装 Ansible 及其相关依赖包根据 Ansible Playbook 安装 DevSecOps Workshop 环境参考 安装 Ansible 及其相关依赖包 执行命令安装 Ansible。 $ sudo dnf install a
RHEL 8 - CIS安全合规基线、SCAP、SSG和合规扫描、漏洞扫描
多恩斯基的博客
02-12 4082
CIS(互联网安全中心)提供各种网络安全相关服务。它制作了基准以保护系统免受当今不断变化的网络威胁。 这些基准以PDF的形式免费提供给CIS成员,这些内容是可读的但不能直接被扫描工具使用。CIS为付费会员提供了一些XCCDF1格式的基准,可以被工具使用。不过这些基准不包含改变服务器状态以达到合规性所需的自动化和补救步骤。为此Red Hat向用户生产“scap-security-guidelines”软件包,它包含了基准扫描合规性、自动化和补救结果所需的内容。 openscap-scanner: 扫描工具。
OpenShift 4 - 使用 Trivy Operator 对项目中的镜像进行安全扫描
多恩斯基的博客
01-09 3800
OpenShift 4.x HOL教程汇总》 说明:本文已经在OpenShift 4.9环境中验证 使用默认配置安装 Trivy Operator,然后创建一个 “NamespaceScanner” 实例。 apiVersion: trivy-operator.devopstales.io/v1 kind: NamespaceScanner metadata: name: trivy-operator-main-config namespace: openshift-operators spe
OpenShift 4 - DevSecOps (3) - 用 RHACS 精细化管理云原生应用安全(附视频)
多恩斯基的博客
04-02 3534
OpenShift 4.x HOL教程汇总》 本文在 OpenShift 4.10 环境中进行验证。 在基于 DevSecOps 的应用发布过程中,我们可以使用 RHACS 的策略对镜像进行安全扫描,当发现危险度较高的 CVE 的时候 RHACS 可以阻断 CI/CD 应用发布过程。 但是不同的应用镜像依赖的运行环境不同,修复过程也不尽相同。另外有些时候虽然能发现 CVE 漏洞,但是可能还没有官方修复方案。这些时候就需要针对特定应用镜像包含的特定 CVE 进行精细化处理。 参照《OpenShift 4
openshift internal-registry 切换 sc
最新发布
05-25
要在 OpenShift 中切换内部注册表的 StorageClass(SC),可以遵循以下步骤: 1. 查看当前内部注册表的 StorageClass: ``` oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data.storage}' ``` 2. 在输出中找到当前使用的 StorageClass 的名称,例如 `default`. 3. 创建一个新的 StorageClass,例如 `new-sc`, 并设置适当的参数(例如 storageClassName、provisioner、parameters 等)。 4. 更新内部注册表的配置以使用新的 StorageClass: ``` oc patch configs.imageregistry.operator.openshift.io/cluster -n openshift-image-registry --type merge --patch '{"spec":{"storage":{"pvc": {"claim": {"storageClassName": "new-sc"}}}}}' ``` 5. 验证配置是否已更新: ``` oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data.storage}' ``` 在输出中,应该看到新的 StorageClass 的名称。现在内部注册表将使用新的 StorageClass 来创建持久卷声明(PVC)。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值