摘要:證書配置大全證書是網(wǎng)絡(luò)通信的安全的要素�����,是現(xiàn)代網(wǎng)絡(luò)通信的基本配置���。包含一個(gè)命令行工具用于簽名,驗(yàn)證并且捆綁證書的服務(wù)����。
Kubernetes 證書配置大全
證書是網(wǎng)絡(luò)通信的安全的要素,是現(xiàn)代網(wǎng)絡(luò)通信的基本配置����。各種遠(yuǎn)程調(diào)用的安全都離不開非對(duì)稱加密提供的保障。
下載證書工具
cfssl 是 CloudFlare 開源的一款PKI/TLS工具。 CFSSL 包含一個(gè)命令行工具(cfssl, cfssljson)用于簽名����,驗(yàn)證并且捆綁TLS證書的 HTTP API 服務(wù)。 使用Go語言編寫����。與 OpenSSL 相比����,cfssl 使用起來更簡(jiǎn)單。
Github 地址: https://github.com/cloudflare...
官網(wǎng)地址: https://pkg.cfssl.org/
如果有g(shù)olang環(huán)境���,用go安裝很簡(jiǎn)單
$ go get -u github.com/cloudflare/cfssl/cmd/cfssl
$ go get -u github.com/cloudflare/cfssl/cmd/cfssljson
cfssljson 實(shí)用程序
大部分 cfssl 的輸出為 JSON 格式���。cfssljson 可以將輸出拆分出來為獨(dú)立的key,certificate��,CSR 和 bundle文件���。該工具需要指定參數(shù)���,-f 指定輸入文件,后接一個(gè)參數(shù),指定生成的文件的基本名稱���。如果輸入文件名是 -(默認(rèn)值)���,則 cfssljson 從標(biāo)準(zhǔn)輸入讀取。它以下列方式將 JSON 文件中的鍵映射到文件名:
如果指定了cert或certificate����, 將生成basename.pem。
如果指定了key 或private_key�,則將生成basename-key.pem。
如果指定了csr 或certificate_request�,則將生成basename.csr。
如果 指定了bundle��, 則將生成basename-bundle.pem�。
如果指定了ocspResponse, 則將生成basename-response.der�����。
您可以傳遞-stdout輸出編碼內(nèi)容到標(biāo)準(zhǔn)輸出���,而不是保存到文件���。
驗(yàn)證證書有效期
cfssl certinfo -cert /etc/kubernetes/ssl/ca.pem |grep not_after
cfssl certinfo -cert /etc/kubernetes/ssl/admin.pem |grep not_after
cfssl certinfo -cert /etc/kubernetes/ssl/kubernetes.pem |grep not_after
cfssl certinfo -cert /etc/kubernetes/ssl/kube-proxy.pem |grep not_after
生成新證書
證書分四類
ca.pem - 私有CA根證書
kubernetes.pem - 與 node 通信的�����,
kube-proxy.pem - k8s 與容器通信的
admin.pem - kubectl 管理用
生成證書請(qǐng)求
在生成證書過程中需要有四類文件
*.csr - 證書請(qǐng)求文件,base64格式����,有-----BEGIN CERTIFICATE REQUEST-----標(biāo)識(shí)
*csr.json - 證書請(qǐng)求文件�,是上面格式的再封裝��,便于傳給cfssl�,json格式���,大括號(hào)開始
*-key.pem - 私匙文件�����,base64格式����,有-----BEGIN RSA PRIVATE KEY-----標(biāo)識(shí)
*.pem - 證書文件,base64格式�,可以用cfssl certinfo -cert 文件名查看有效期�����,有-----BEGIN CERTIFICATE-----標(biāo)識(shí)
以上四種文件��,前兩類是中間產(chǎn)物,過后可以不保留�����,后兩個(gè)需要配置到系統(tǒng)中 (通常是主從結(jié)點(diǎn)的/etc/kubernetes/ssl目錄下)。
中間文件和生成的文件最好放在一起
cat > ca-csr.json << "HERE"
{
"CN": "kubernetes",
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"ST": "BeiJing",
"L": "BeiJing",
"O": "k8s",
"OU": "System"
}
]
}
HERE
部分字段說明:
“CN”:Common Name,kube-apiserver 從證書中提取該字段作為請(qǐng)求的用戶名 (User Name)���;瀏覽器使用該字段驗(yàn)證網(wǎng)站是否合法�����;
“O”:Organization���,kube-apiserver 從證書中提取該字段作為請(qǐng)求用戶所屬的組 (Group)�;
其他幾類證書請(qǐng)求類似
用證書請(qǐng)求生成證書
cfssl gencert -initca ca-csr.json | cfssljson -bare ca
配置證書��,使其生效
需要把生成的證書復(fù)制到全部 master和 node 結(jié)點(diǎn)。
scp *.pem yourname@yournode:/etc/kubernetes/ssl/
在 master 結(jié)點(diǎn)上生成~/.kube/config便于kubectl日常交互使用
KUBE_APISERVER="https://192.168.122.100:6443" #這里換成你的 master 結(jié)點(diǎn) IP
kubectl config set-cluster kubernetes
--certificate-authority=/etc/kubernetes/ssl/ca.pem
--embed-certs=true
--server=${KUBE_APISERVER}
kubectl config set-credentials admin
--client-certificate=/etc/kubernetes/ssl/admin.pem
--embed-certs=true
--client-key=/etc/kubernetes/ssl/admin-key.pem
kubectl config set-context kubernetes
--cluster=kubernetes
--user=admin
kubectl config use-context kubernetes
ls ~/.kube/config
結(jié)點(diǎn)間通信用的證書配置
cd /etc/kubernetes
kubectl config set-cluster kubernetes
--certificate-authority=/etc/kubernetes/ssl/ca.pem
--embed-certs=true
--server=${KUBE_APISERVER}
--kubeconfig=bootstrap.kubeconfig
kubectl config set-credentials kubelet-bootstrap
--token=${BOOTSTRAP_TOKEN}
--kubeconfig=bootstrap.kubeconfig
kubectl config set-context default
--cluster=kubernetes
--user=kubelet-bootstrap
--kubeconfig=bootstrap.kubeconfig
kubectl config use-context default --kubeconfig=bootstrap.kubeconfig
kubectl config set-cluster kubernetes
--certificate-authority=/etc/kubernetes/ssl/ca.pem
--embed-certs=true
--server=${KUBE_APISERVER}
--kubeconfig=kube-proxy.kubeconfig
kubectl config set-credentials kube-proxy
--client-certificate=/etc/kubernetes/ssl/kube-proxy.pem
--client-key=/etc/kubernetes/ssl/kube-proxy-key.pem
--embed-certs=true
--kubeconfig=kube-proxy.kubeconfig
kubectl config set-context default
--cluster=kubernetes
--user=kube-proxy
--kubeconfig=kube-proxy.kubeconfig
kubectl config use-context default --kubeconfig=kube-proxy.kubeconfig
kubectl create clusterrolebinding kubelet-bootstrap
--clusterrole=system:node-bootstrapper
--user=kubelet-bootstrap
bootstrap方式給節(jié)點(diǎn)頒發(fā)證書
在配置好kubelet-bootstrap.kubeconfig后�����,重啟結(jié)點(diǎn),結(jié)點(diǎn)會(huì)向master申請(qǐng)證書����。
master結(jié)點(diǎn)上運(yùn)行
kubectl get certificatesigningrequests
會(huì)發(fā)現(xiàn)以下類似的輸出
NAME AGE REQUESTOR CONDITION
node-csr-dAxCUJNZ4 22m kubelet-bootstrap Pending
通過以下命令����,授權(quán)頒發(fā)給節(jié)點(diǎn)證書
kubectl certificate approve node-csr-dAxCUJNZ4
通過后正常后會(huì)輸出
certificatesigningrequest "node-csr-dAxCUJNZ4" approved
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為�,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://www.ezyhdfw.cn/yun/32971.html
