K8S 创建 CA 根证书和秘钥

已于 2023-02-04 01:26:34 修改
阅读量279 收藏
点赞数
分类专栏: 云原生 文章标签: kubernetes 容器 云原生
于 2023-01-18 11:36:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44772835/article/details/128749345
版权

前戏

为确保安全,​​kubernetes​​​ 系统各组件需要使用 ​​x509​​ 证书对通信进行加密和认证。

CA (Certificate Authority) 是自签名的根证书,用来签名后续创建的其它证书。

CA 证书是集群所有节点共享的,只需要创建一次,后续用它签名其它所有证书。

本文档使用 ​​CloudFlare​​ 的 PKI 工具集 ​​cfssl​​ 创建所有证书

安装 cfssl 工具集

sudo mkdir -p /opt/k8s/cert && cd /opt/k8s/work

wget https://github.com/cloudflare/cfssl/releases/download/v1.4.1/cfssl_1.4.1_linux_amd64
mv cfssl_1.4.1_linux_amd64 /opt/k8s/bin/cfssl

wget https://github.com/cloudflare/cfssl/releases/download/v1.4.1/cfssljson_1.4.1_linux_amd64
mv cfssljson_1.4.1_linux_amd64 /opt/k8s/bin/cfssljson

wget https://github.com/cloudflare/cfssl/releases/download/v1.4.1/cfssl-certinfo_1.4.1_linux_amd64
mv cfssl-certinfo_1.4.1_linux_amd64 /opt/k8s/bin/cfssl-certinfo

chmod +x /opt/k8s/bin/*
export PATH=/opt/k8s/bin:$PATH

创建配置文件

cd /opt/k8s/work
cat > ca-config.json <<EOF
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "kubernetes": {
        "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ],
        "expiry": "876000h"
      }
    }
  }
}
EOF
  • ​signing​​:表示该证书可用于签名其它证书(生成的 ​​ca.pem​​ 证书中 ​​CA=TRUE​​);
  • ​server auth​​:表示 client 可以用该该证书对 server 提供的证书进行验证;
  • ​client auth​​:表示 server 可以用该该证书对 client 提供的证书进行验证;
  • ​"expiry": "876000h"​​:证书有效期设置为 100 年;

创建证书签名请求文件

cd /opt/k8s/work
cat > ca-csr.json <<EOF
{
  "CN": "kubernetes-ca",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "k8s",
      "OU": "opsnull"
    }
  ],
  "ca": {
    "expiry": "876000h"
 }
}
EOF
  • ​CN:Common Name​​:kube-apiserver 从证书中提取该字段作为请求的用户名 (User Name),浏览器使用该字段验证网站是否合法;
  • ​O:Organization​​:kube-apiserver 从证书中提取该字段作为请求用户所属的组 (Group)
  • kube-apiserver 将提取的 ​​User、Group​​ 作为 ​​RBAC​​ 授权的用户标识;

注意:

  1. 不同证书 csr 文件的 CN、C、ST、L、O、OU 组合必须不同,否则可能出现 ​​PEER'S CERTIFICATE HAS AN INVALID SIGNATURE​​ 错误;
  2. 后续创建证书的 csr 文件时,CN 都不相同(C、ST、L、O、OU 相同),以达到区分的目的;

生成 CA 证书和私钥

cd /opt/k8s/work
cfssl gencert -initca ca-csr.json | cfssljson -bare ca
ls ca*

分发证书文件

cd /opt/k8s/work
source /opt/k8s/bin/environment.sh
for node_ip in ${NODE_IPS[@]}
  do
    echo ">>> ${node_ip}"
    ssh root@${node_ip} "mkdir -p /etc/kubernetes/cert"
    scp ca*.pem ca-config.json root@${node_ip}:/etc/kubernetes/cert
  done
弓长三虎
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s 创建mysql的 全套yaml文件
04-13
k8s 创建mysql的 全套yaml文件
kubernetes集群安装指南:创建CA证书及相关组件证书密钥
bjdmy2068的博客
07-01 827
在实际kubernetes应用场景中,集群内组件之间访问都是通过TLS双向认证安全访问,即https访问,所以在部署时,给kubernetes各个组件创建证书是必要的,这是因为没有https安全访问会导致集群间节点通信访问不安全,非法用户可以通过客户端操作,对集群资源非法操作,引起集群服务异常,甚至集群宕机。例如:非法操作etcd存储的数据,因此集群开启https访问双向认证是必要的。 1 准备工...
Kubernetes 018】cfssl创建证书并结合RBAC的RoleBinding配置新用户config文件操作详解
T型人小付的博客
05-15 814
安全性是企业生产环境中的头等大事,对于访问同一集群的不同用户或者用户组来说,将权限分级是很有必要的。和很多云厂商一样,k8s也是采用按照角色和用户绑定的方式来分配权限的,这一节我们就来实际操作下,新建一个用户,并只让他在指定的namespace进行管理。 我是T型人小付,一位坚持终身学习的互联网从业者。喜欢我的博客欢迎在csdn上关注我,如果有问题欢迎在底下的评论区交流,谢谢。 文章目录RBACRole和ClusterRoleRoleBinding和ClusterRoleBinding用户以及认证一些证
k8s集群的CA证书过期处理
最新发布
wzp1986的专栏
03-06 806
不改变原CA的公私钥,安全地在线地更新集群CA
k8s学习-Secret(创建、使用、更新、删除等)
关注网络安全、云原生安全
08-20 8148
注意:Base64只是一种编码,不含密钥的,并不安全。任何拥有 API 访问权限的人都可以检索或修改 Secret,任何有权访问 etcd 的人也可以。此外,任何有权限在命名空间中创建 Pod 的人都可以使用该访问权限读取该命名空间中的任何 Secret;使用该 ServiceAccount 创建的任何 Pod 和默认使用该 ServiceAccount 的 Pod 将会将其的 imagePullSecret 字段设置为服务帐户的 imagePullSecret 值。中的安全部分详细展开。
K8s配置与密钥管理 ConfigMap &Secret
weixin_54720351的博客
03-28 1561
kubernetes集群可以使用ConfigMap来实现对容器中应用的配置管理。可以把ConfigMap看作是一个挂载到pod中的存储卷Secret与ConfigMap类似,主要的区别是ConfigMap存储的是明文,而Secret存储的是密文。ConfigMap可以用配置文件管理,而Secret可用于密码、密钥、token等敏感数据的配置管理。Secret与ConfigMap类似,主要的区别是ConfigMap存储的是明文,而Secret存储的是密文。
Kubernetes密钥管理Secret
zhangshenglu1的博客
05-21 743
Secret与ConfigMap类似,主要的区别是ConfigMap存储的是明文,而Secret存储的是密文。ConfigMap可以用配置文件管理,而Secret可用于密码、密钥、token等敏感数据的配置管理。
K8S集群证书监控ssl-exporter监控模板
01-14
原文链接:https://blog.csdn.net/m0_37814112/article/details/122349602
k8s证书修改为10年文件
06-13
k8s证书修改为10年文件
k8s 1.23.17版本kubeadm 100年CA有效期
09-20
使用yum -y install kubelet-1.23.17 kubeadm-1.23.17 kubectl-1.23.17安装...初始化之前,用自编译 kubeadm替换官方的kubeadm:`/usr/bin/kubeadm`,可将证书过期时间改为 `100` 年,基于` 1.23.17` 版本的 kubernetes
k8s证书过期处理方案
11-17
K8S集群证书过期后,会导无法创建Pod,通过kubectl get nodes也无法获取信息,甚至dashboard也无法访问。 执行命令发现报错: Unable to connect to the server: x509: certificate has expired or is not yet valid...
解读kubernetes部署:配置docker私服密钥与SSL证书创建
java电商源码分享
05-22 695
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。将相应文件上传至您的master节点中的/opt/ssl中,并改名为:nginx.key和nginx.crt。自己生成的证书不会被浏览器信任,需要手动确认证书安全才能继续访问站点,这种方式适合在测试环境使用。这个凭证我们会在后续的yaml编排文件中用到,如果您更改了此凭证名字,请修改相应yaml中的配置。购买相应的证书后,同样会获得到两个文件:xx.key和xx.crt。
k8s应用机密信息与配置管理(九)
wenjianfeng的专栏
06-22 403
secret 应用启动过程中可能需要一些敏感信息,比如访问数据库的用户名密码或者秘钥。将这些信息直接保存在容器镜像中显然不妥,Kubernetes 提供的解决方案是 Secret。 Secret 会以密文的方式存储数据,避免了直接在配置文件中保存敏感信息。Secret 会以 Volume 的形式被 mount 到 Pod,容器可通过文件的方式使用 Secret 中的敏感数据;此外,容器也...
轻松掌握K8S使用kubectl操作配置文件挂载ConfigMap和密钥Secret知识点05
轻松入门网
04-22 2302
轻松掌握K8S使用kubectl操作配置文件挂载ConfigMap和密钥Secret知识点05
K8s-创建CA证书秘钥.02
Vv的博客
01-02 2139
内容转载自:https://github.com/opsnull/follow-me-install-kubernetes-cluster/blob/master/02.%E5%88%9B%E5%BB%BACA%E8%AF%81%E4%B9%A6%E5%92%8C%E7%A7%98%E9%92%A5.md 上一篇:K8s-系统初始化.01 为确保安全,kubernetes 系统各组件需要使用 ...
K8s生成证书创建秘钥,今天是打工人or干饭人X?X~~~
qing1912的博客
01-04 429
生成证书 kubectl create secret tls <cert name> --cert <hostname.crt> --key <hostname.key> -n <namespace> 【生成证书之后就可以在ingress配置spec.tls.hosts.secretName中配置命令中指定的】 生成secret 命令: kubectl create secret generic <secret name> --from-env-
对称加解密算法
qq_41483419的博客
11-14 879
对称加解密算法
K8S从secret文件生成密钥
月夜楓
08-07 2081
K8S从secret文件生成密钥后,如何更新Kubernetes上的密钥呢? 前提 生成密钥配置 kubectl -n cattle-system create secret tls tls-rancher-ingress --cert=./tls.crt --key=./tls.key 方法一 相信大多数的人第一反应,是先删除,再重新创建secret kubectl delete secret tls-rancher-ingress -n cattle-systemkubec..
【博客535】k8s证书原理:各类证书作用
qq_43684922的博客
11-13 2700
我们其实可以使用多个不同的 CA 来颁发这些证书。只要在通信的组件中正确配置用于验证对方证书CA 证书,就可以使用不同的 CA 来颁发不同用途的证书。但我们一般建议采用统一的 CA 来颁发 kubernetes 集群中的所有证书,这是因为采用一个集群 CA 的方式比采用多个 CA 的方式更容易管理,可以避免多个CA 导致的复杂的证书配置、更新等问题,减少由于证书配置错误导致的集群故障。
k8s 创建pvc和pv yaml文件
04-18
以下是创建 k8s PVC 和 PV YAML 文件的示例: PVC YAML 文件示例: apiVersion: v1 kind: PersistentVolumeClaim metadata: name: myclaim spec: accessModes: - ReadWriteOnce resources: requests: ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值