Kubernetes证书相关(CFSSL) 在Centos7下,使用cfssl工具生成CA证书

最新推荐文章于 2024-04-17 03:42:32 发布
最新推荐文章于 2024-04-17 03:42:32 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43935079/article/details/86411613
版权
本文介绍了如何在CentOS7系统中使用CFSSL工具生成CA证书,包括下载CFSSL相关工具,创建并修改配置文件,生成证书和私钥,并详细阐述了证书验证过程。此外,还提到了证书在Kubernetes环境中的应用场景。
摘要由CSDN通过智能技术生成

1.下载cfssl工具
$ wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
$ chmod +x cfssl_linux-amd64
$ sudo mv cfssl_linux-amd64 /root/local/bin/cfssl

$ wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
$ chmod +x cfssljson_linux-amd64
$ sudo mv cfssljson_linux-amd64 /root/local/bin/cfssljson

$ wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
$ chmod +x cfssl-certinfo_linux-amd64
$ sudo mv cfssl-certinfo_linux-amd64 /root/local/bin/cfssl-certinfo

$ export PATH=/root/local/bin:$PATH
2.生成默认的配置文件和证书签名请求文件
$ cfssl print-defaults config > ca-config.json
$ cfssl print-defaults csr > ca-csr.json
2.1.查看并修改CA 配置文件

cat ca-config.json

{
“signing”: {
“default”: {
“expiry”: “9999h”
},
“profiles”: {
“www”: {
“expiry”: “9999h”,
“usages”: [
“signing”,
“key encipherment”,
“server auth”
]
},
“client”: {
“expiry”: “9999h”,
“usages”: [
“signing”,
“key encipherment”,
“client auth”
]
}
}
}
}

  • ca-config.json:可以定义多个 profiles,分别指定不同的过期时间、使用场景等参数;后续在签名证书时使用某个 profile;

  • signing:表示该证书可用于签名其它证书;生成的 ca.pem 证书中 CA=TRUE

  • server auth:表示 client 可以用该 CA 对 server 提供的证书进行验证;

  • client auth:表示 server 可以用该 CA 对 client 提供的证书进行验证;

2.2.查看并修改 CA 证书签名请求
{
“CN”: “registry.test.com”,
“hosts”: [
“127.0.0.1”,
“172.16.160.38”,
registry.test.com
],
“key”: {
“algo”: “rsa”,
“size”: 2048
},
“names”: [
{
“C”: “CN”,
“ST”: “BeiJing”,
“L”: “BeiJing”,
“O”: “k8s”,
“OU”: “System”
}
]
}

  • “CN”:Common Name,kube-apiserver 从证书中提取该字段作为请求的用户名 (User Name);浏览器使用该字段验证网站是否合法;

  • “O”:Organization,kube-apiserver 从证书中提取该字段作为请求用户所属的组 (Group);

3.生成 CA 证书和私钥:
[root@dev tmp]# cfssl gencert -initca ca-csr.json | cfssljson -bare ca #重新执行
[root@dev tmp]# ls ca*
ca-config.json ca.csr ca-csr.json ca-key.pem ca.pem
分发证书

4.校验证书
4.1使用 openssl 命令校验证书
$ openssl x509 -noout -text -in kubernetes.pem

Signature Algorithm: sha256WithRSAEncryption
Issuer: C=CN, ST=BeiJing, L=BeiJing, O=k8s, OU=System, CN=Kubernetes
Validity
Not Before: Apr 5 05:36:00 2017 GMT
Not After : Apr 5 05:36:00 2018 GMT
Subject: C=CN, ST=BeiJing, L=BeiJing, O=k8s, OU=System, CN=kubernetes

X509v3 extensions:
X509v3 Key Usage: critical
Digital Signature, Key E

最低0.47元/天 解锁文章
weixin_43935079
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cfssl.zip包含cfssl相关文件,解决国内无法下载或者下载慢的问题
11-06
wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 本压缩包是通过上面三个命令下载的文件,主要是为了解决在国内下载慢或者下载失败的问题。
Centos7.9 使用 cfssl生成证书
qq_29744347的博客
04-11 912
使用ca-config.json 中 profile iam 配置信息:-config=/etc/iam/cert/ca-config.json -profile=iam iam-apiserver-csr.json | cfssljson -bare iam-apiserver。server auth: 客户端使用证书可以对服务端提供的证书进行验证。client auth: 服务端使用证书可以对客户端提供的证书进行验证。使用certinfo查看下证书信息和证书签名请求信息。expiry:证书有效期。
Java开发实战讲解,CFSSL 生成证书
最新发布
2401_84004078的博客
04-17 714
我想问下大家当初选择做程序员的初衷是什么?有思考过这个问题吗?高薪?热爱?既然入了这行就应该知道,这个行业是靠本事吃饭的,你想要拿高薪没有问题,请好好磨练自己的技术,不要抱怨。有的人通过培训可以让自己成长,有些人可以通过自律强大的自学能力成长,如果你两者都不占,还怎么拿高薪?架构师是很多程序员的职业目标,一个好的架构师是不愁所谓的35岁高龄门槛的,到了那个时候,照样大把的企业挖他。为什么很多人想进阿里巴巴,无非不是福利待遇好以及优质的人脉资源,这对个人职业发展是有非常大帮助的。
push证书生成失败:提示csr文件无效
book_1992的专栏
02-27 1212
一般出现这个原因是因为钥匙串中已经存在了对应的证书,所以不能在创建,但是我发现电脑并没有这个证书。最终原因:因为在生成的时候直接把『用户邮件』『CA邮件地址』都填写了,然后才选择请求是:『存储到磁盘』。正确的步骤应该是先选择请求是:『存储到磁盘』,然后填写『用户邮件地址』和『名称』,不用写『CA邮件地址』,此时生成的csr文件才可以用。...
Centos7下,使用cfssl工具生成CA证书
zhuyongru的专栏
11-14 6513
1.下载cfssl工具 $ wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 $ chmod +x cfssl_linux-amd64 $ sudo mv cfssl_linux-amd64 /root/local/bin/cfssl $ wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd6...
K8S证书生成工具-cfssl-Centos离线安装包
10-28
`cfssl`(Cloudflare's Certificate Authority Software)是一个开源的证书权威(CA)服务器和工具集,它能够方便地生成和管理SSL/TLS证书。在CentOS系统中,特别是对于离线环境,我们需要通过特定的方式来安装和...
Win7下用SSH客户端工具连接CentOS54的SSH证书配置方法.docx
10-25
在Windows 7环境下,可以使用各种SSH客户端工具来连接CentOS服务器,如PuTTY、MobaXterm、Git Bash(含OpenSSH客户端)等。以下以PuTTY为例说明配置步骤: 1. 下载并安装PuTTY。 2. 在PuTTY中输入CentOS服务器的IP...
CentOS7下安装kubernetes实践
01-07
操作环境:CentOS7.4 kubernetes15.1 一、 更改主机配置 更改主机名,主节点改为master,工作节点改为worker vi /etc/hostname 更改hosts文件 vi /etc/hosts 127.0.0.1 localhost.localdomain master //工作节点上...
CentOS7实战Kubernetes部署
03-01
上一节我们阐述了Kubernetes的系统架构,让大家对Kubernetes有一定的初步了解,但是就如何使用Kubernetes,也许大家还不知如何下手。本文作者将带领大家如何在本地部署、配置Kubernetes集群网络环境以及通过实例演示...
k8s安装需要的组件:cfssl+dns+docker18.06+etcd+flannel+helm+socat
11-18
【离线安装包】 本人已经搭建过一套环境了,由于工作环境隔离外网,只能离线安装,现将需要用到的工具均打包好,以备不时之需。
Centos7下安装MongoDB
08-24
Centos7下安装MongoDB是指在Centos7操作系统中安装和配置MongoDB数据库的过程。MongoDB是一个基于分布式文件存储的NoSQL数据库,由C++语言编写,运行稳定,性能高旨在为 WEB 应用提供可扩展的高性能数据存储解决方案...
网页视频下载方法二:手机浏览器下载
热门推荐
老A的专栏
11-13 1万+
有时候审查元素下载的视频时,因为某些网站加载是一段一段的,所以审查元素链接也是一段一段的,非常麻烦。这里有个简单易行的方法可以方便下载视频。        用手机UC浏览器就可以下载绝大部分网页视频!(优酷,土豆,爱奇艺等有手机客户端的视频网站目前发现不可以,建议还是用在电脑端有维棠下载)        是安卓版的UC,没试过苹果版的,应该不可以,土豪们请自己尝试。 这里还是以腾讯课程为例
Kubernetes_07_证书
05-04 128
使用 cfssl-certinfo 命令查看证书信息 如下:通过这个命令,可以查看证书签发机构(subject.organization),和证书过期时间(not_after) 。可以知道 K8s集群中的证书需要在什么时候更新。 [root@kevin certs]# cfssl-certinfo -cert apiserver.pem { "subject": { "common_name": "k8s-apiserver", "country": "CN", "organi
cfssl自签证书
zpsimon的博客
10-10 696
cfssl生成自签名证书
cfssl简单使用
janthinasnail的博客
01-19 1496
CA证书配置文件,一般命名为ca-config.json,它用于配置根证书使用场景 (profile) 和具体参数 (usage,过期时间、服务端认证、客户端认证、加密等),后续在签名其它证书时需要指定特定场景 (profile)。查看某个命令使用cfssl [command] -help,其中[command]为某个命令名称。2) CA证书及其私钥创建过程不需要甚至该字段。生成自签名根 CA 证书和私钥。生成证书签名请求和私钥。生成 CA 秘钥文件(目标证书签名请求文件。
cfssl使用方法重新整理说明
m0_46900715的博客
05-24 1507
cfssl使用方法重新整理说明
使用 cfssl 工具生成证书离线部署Harbor企业级私有镜像仓库(超详细无坑)
Mr.L-OAM的博客
06-05 1950
Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,目标是帮助用户迅速搭建一个企业级的 Docker 镜像管理中心,扩展了开源Docker Distribution。作为一个企业级私有Registry服务器,Harbor提供了更好的性能和安全。提升用户使用Registry构建和运行环境传输镜像的效率。Harbor支持安装在多个Registry节点的镜像资源复制,镜像全部保存在私有Registry中, 确保数据和知识产权在公司内部网络中管控。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值