Kubernetes K8S之SSL证书有效期修改

最新推荐文章于 2024-05-17 10:49:03 发布
最新推荐文章于 2024-05-17 10:49:03 发布
阅读量1.3k 收藏 6
点赞数 1
分类专栏: kubernetes ci/cd devops 文章标签: kubernetes k8s ci/cd devops docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/woshizhangliang999/article/details/107753609
版权
本文介绍了如何修改Kubernetes的SSL证书有效期,避免每年都要更新证书的问题。通过部署Go环境,下载Kubernetes源码,更改证书策略,更新kubeadm并备份原证书,成功将证书有效期延长至100年。
摘要由CSDN通过智能技术生成

如何修改Kubernetes的SSL证书有效期

主机配置规划

服务器名称(hostname) 系统版本 配置 内网IP 外网IP(模拟)
k8s-master CentOS7.7 2C/4G/20G 172.16.1.110 10.0.0.110
k8s-node01 CentOS7.7 2C/4G/20G 172.16.1.111 10.0.0.111
k8s-node02 CentOS7.7 2C/4G/20G 172.16.1.112 10.0.0.112

为什么要修改证书有效期

Kubernetes默认的证书有效期都是1年,因此需要我们每年都更新证书,显然这对我们实际生产环境来说是很不友好的;因此我们要对Kubernetes的SSL证书有效期进行修改。

证书有效期查看

[root@k8s-master pki]# pwd
/etc/kubernetes/pki
[root@k8s-master pki]# ll
total 56
-rw-r--r-- 1 root root 1224 May 12 15:51 apiserver.crt
-rw-r--r-- 1 root root 1090 May 12 15:51 apiserver-etcd-client.crt
-rw------- 1 root root 1675 May 12 15:51 apiserver-etcd-client.key
-rw------- 1 root root 1675 May 12 15:51 apiserver.key
-rw-r--r-- 1 root root 1099 May 12 15:51 apiserver-kubelet-client.crt
-rw------- 1 root root 1675 May 12 15:51 apiserver-kubelet-client.key
-rw-r--r-- 1 root root 1025 May 12 15:51 ca.crt
-rw------- 1 root root 1675 May 12 15:51 ca.key
drwxr-xr-x 2 root root  162 May 12 15:51 etcd
-rw-r--r-- 1 root root 1038 May 12 15:51 front-proxy-ca.crt
-rw------- 1 root root 1675 May 12 15:51 front-proxy-ca.key
-rw-r--r-- 1 root root 1058 May 12 15:51 front-proxy-client.crt
-rw------- 1 root root 1675 May 12 15:51 front-proxy-client.key
-rw------- 1 root root 1679 May 12 15:51 sa.key
-rw------- 1 root root  451 May 12 15:51 sa.pub
[root@k8s-master pki]# 
[root@k8s-master pki]# for i in $(ls *.crt); do echo "===== $i ====="; openssl x509 -in $i -text -noout | grep -A 3 'Validity' ; done
===== apiserver.crt =====
        Validity
            Not Before: May 12 07:51:36 2020 GMT
            Not After : May 12 07:51:36 2021 GMT
        Subject: CN=kube-apiserver
===== apiserver-etcd-client.crt =====
        Validity
            Not Before: May 12 07:51:37 2020 GMT
            Not After : May 12 07:51:38 2021 GMT
        Subject: O=system:masters, CN=kube-apiserver-etcd-client
===
最低0.47元/天 解锁文章
LightZhang666
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
K8S ingress 阿里云 ssl证书安装或者更新
张震--golang
09-12 1158
将替换为你想要的Secret名称,替换为你下载的证书文件的路径,替换为私钥文件的路径。将替换为你在第三步中创建的Secret名称,your.domain.com替换为你的域名,your-service替换为你的后端服务的名称。配置Ingress对象:在你的Ingress对象中,你需要指定你刚才创建的Secret名称,以及你要保护的路径和后端服务。
重要消息|2020年9月1日起, SSL证书最长有效期变更为1年
DNSPod
08-07 1316
从2020年9月1日开始,SSL证书最长有效期变更为398天(13个月)。即2020年8月31日之后,可信CA将不再颁发2年期证书证书有效期再次缩短为1年。看到这个消息,D妹手里的证书...
k8s查看证书有效期的两种方法
最新发布
学亮编程手记
05-17 1181
要查看Kubernetes (k8s) 集群中各个组件的证书有效期,您可以使用不同的方法,具体取决于您的集群是如何部署和配置的。
K8S官方部署方式以及自签SSL证书介绍
小叮当的博客
04-27 1167
文章目录官方提供的三种部署方式总结 官方提供的三种部署方式 minikube Minikube是一个工具,可以在本地快速运行一个单节点的Kubernetes,仅用于尝试Kubernetes或日常开发人员使用。 部署地址:https://kubernetes.io/docs/setup/learning-environment/minikube/ kubeadm Kubeadm也是一个工具,...
k8s集群配置SSL证书
qq_41808193的博客
02-26 7497
方法一:对所有ingress进行配置 阿里云申请通配符域名 由于目前还没有交易的情景,并且暂时没有较多用户的敏感信息,目前申请的是域名型证书,保证通信是加密传输即可。参考阿里云文档:https://help.aliyun.com/document_detail/98574.html?spm=a2c4g.11186623.6.603.59a020674FUyXO(域名所有权验证选自动验证即可) 目前申请好的是*.seec.seecoder.cn,这种通配符域名只允许一级子域名,像a.b.seec.seec
K8S证书过期解决办法之替换证书
q_hsolucky的博客
06-20 1万+
k8s证书过期解决方案之替换证书
K8S集群ssl证书监控ssl-exporter资源清单文件及镜像文件
01-14
Kubernetes(K8S)集群环境中,安全套接字层(SSL)证书的监控是确保服务安全和稳定的重要环节。SSL证书用于加密网络通信,确保数据传输的安全性。`ssl-exporter`是一款专为监控SSL/TLS证书状态设计的Prometheus ...
K8S主机Prometheus监控ssl证书资源清单及镜像文件
01-14
监控SSL证书的状态,如有效期、签名算法等,可以预防由于证书过期或不安全导致的服务中断。 Prometheus监控SSL证书通常涉及以下几个步骤: 1. **配置Exporter**:`prometheus-ssl-exporter`是一个Prometheus ...
K8S证书生成工具-cfssl-Centos离线安装包
10-28
你可以通过它来检查证书的详细属性,如有效期、颁发者、主体、公钥算法等,这对于理解和验证证书的正确性非常有帮助。 3. `cfssljson`: `cfssljson`将JSON格式的数据转换为`cfssl`可以理解的格式,或者将`cfssl`...
基于cfssl工具集一键生成二进制kubernetes v1.25.14集群相关证书
09-20
在搭建KubernetesK8s)集群时,证书是保障通信安全的关键组件。Kubernetes v1.25.14版本中,证书管理的重要性更加凸显,因为它涉及到API服务器、etcd、节点之间的安全通信等多个层面。`cfssl`(CloudFlare's SSL)...
Go-管理一个Kubernetes集群的LetsEncrypt证书
08-14
3. **创建Certificate**:定义一个Certificate资源,指定DNS名称,关联的Issuer,以及其他选项如证书有效期。 4. **设置Ingress**:在Ingress资源中引用刚刚创建的Certificate,这样Ingress控制器会知道要使用哪个...
Kubernetes(k8s)-v1.22.3版本证书有效期修改
听海归雪的博客
01-13 2091
用了一段时间k8s发现这个SSL证书的一年有效期时间的坑还是迈不过去,问题 来了,我们就要去解决 一、环境 CentOS Linux release 7.7.1908 (Core) 3.10.0-1062.el7.x86_64 kubeadm-1.22.3-0.x86_64 kubelet-1.22.3-0.x86_64 kubectl-1.22.3-0.x86_64 kubernetes-cni-0.8.7-0.x86_64 主机名 IP VIP k8s-master01 .
SSL安全证书过期的解决办法
蔚可云的博客
09-18 5411
当前,https网站越来越多,有用户在访问某些https网站的时候,时常会遇到浏览器提示"此网站的安全证书有问题"以及"此网站出具的安全证书已过期或还未生效",并且浏览器的地址栏的绿色安全锁也没有出现,https链接被划上了一条斜红线,这到底是怎么回事呢?接着浏览网站是否会有https证书风险呢?本文给大家讲解浏览器提示网站https安全证书过期的原因以及安全证书过期怎么办?一起来学习下。 一、网站https安全证书过期的原因 1、当前电脑系统时间不对,全部的http安全证书都有颁发日期和截止日期,
Nginx配置https访问和反向代理
运维@小兵的博客
03-10 540
vim nginx.conf #反向代理,访问https跳转到http://localhost:8080 server { listen 443 ssl; server_name 127.0.0.1; client_max_body_size 2000M; #设置nginx上传包的大小 ssl o...
k8s-18-api-server更换证书
weixin_33882452的博客
10-27 1084
1 目前证书是信任三个master ip地址在加一个[root@k8s-masterseversslbak]#cfssl-certinfo-certserver.pem { "subject":{ "common_name":"kubernetes", "country":"CN", "organization":"k8s", ...
【实战加详解】二进制部署k8s高可用集群教程系列二 - ssl 证书简介
JohnYang's CSDN Home
10-12 990
实战加详解 - 完美解决二进制部署k8s高可用集群中ssl证书以及TLS Bootstrap机制的问题
ssl证书到期时间查询的三种方法
热门推荐
搁浅在PHP沙滩上的博客
04-09 4万+
之前,有一个域名使用了网上免费的 ssl 证书,然后想在该证书过期后更换为 Let's encrypt 的免费证书,便想查询下该域名 ssl 证书还剩多少天过期。 查询证书到期时间的方法还是很简单的,以下使用 sslforfree.com 这个域名进行测试,下面简单的记录一下步骤。 方法一:直接浏览器上查看 该方法的前提是你的域名已经指向了 web 服务器,在浏览器上可以正常访问。
kubeadm部署k8s1.15版本及更改证书时间限制
勿念勿扰,相安静好
10-17 998
kubeadm是官方社区推出的一个用于快速部署kubernetes集群的工具。 这个工具能通过两条指令完成一个kubernetes集群的部署: ``` # 创建一个 Master 节点 $ kubeadm init # 将一个 Node 节点加入到当前集群中 $ kubeadm join <Master节点的IP和端口 > ``` ## 1. 安装要求 在开始之前,部署Ku...
升级K8S证书有效期为100年操作说明
数通畅联
01-21 3980
之前K8S集群默认使用1年期限,现在已不能满足实际需要,需要升级K8S证书有效期为100年。本文针对升级k8S证书有效期为100年的操作进行说明讲解。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值