溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

kubernetes中如何創(chuàng)建TLS證書(shū)和密鑰

發(fā)布時(shí)間:2021-12-24 16:02:33 來(lái)源:億速云 閱讀:150 作者:小新 欄目:大數(shù)據(jù)

這篇文章將為大家詳細(xì)講解有關(guān)kubernetes中如何創(chuàng)建TLS證書(shū)和密鑰,小編覺(jué)得挺實(shí)用的,因此分享給大家做個(gè)參考,希望大家閱讀完這篇文章后可以有所收獲。

一:前言
每個(gè)Kubernetes集群都有一個(gè)集群根證書(shū)頒發(fā)機(jī)構(gòu)(CA)。 集群中的組件通常使?CA來(lái)驗(yàn)證API SERVER的證書(shū),由API服務(wù)器驗(yàn)證kubelet客戶端證書(shū)等。為了支持這一特點(diǎn),CA證書(shū)包被分發(fā)到集群中的每個(gè)節(jié)點(diǎn),并作為一個(gè)sercret附加分發(fā)到默認(rèn)service account上。

生成的 CA 證書(shū)和秘鑰文件如下:
ca-key.pem
ca.pem
kubernetes-key.pem
kubernetes.pem
kube-proxy.pem
kube-proxy-key.pem
admin.pem
admin-key.pem
使用證書(shū)的組件如下:
etcd:使用 ca.pem、kubernetes-key.pem、kubernetes.pem;
kube-apiserver:使用 ca.pem、kubernetes-key.pem、kubernetes.pem;
kubelet:使用 ca.pem;
kube-proxy:使用 ca.pem、kube-proxy-key.pem、kubeproxy.pem;
kubectl:使用 ca.pem、admin-key.pem、admin.pem;
kube-controller-manager:使用 ca-key.pem、ca.pem

kubernetes集群節(jié)點(diǎn)部署結(jié)構(gòu):
10.116.137.196   k8s_master
10.116.82.28      k8s_node1
10.116.36.57      k8s_node2

二:安裝CFSSL


點(diǎn)擊(此處)折疊或打開(kāi)

  1. wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64

  2. chmod +x cfssl_linux-amd64

  3. mv cfssl_linux-amd64 /usr/local/bin/cfssl

  4. wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64

  5. chmod +x cfssljson_linux-amd64

  6. mv cfssljson_linux-amd64 /usr/local/bin/cfssljson

  7. wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64

  8. chmod +x cfssl-certinfo_linux-amd64

  9. mv cfssl-certinfo_linux-amd64 /usr/local/bin/cfssl-certinfo

  10. export PATH=/usr/local/bin:$PATH


三:創(chuàng)建 CA (Certificate Authority)
mkdir /root/ssl
cd /root/ssl
cfssl print-defaults config > config.json
cfssl print-defaults csr > csr.json

config.json

點(diǎn)擊(此處)折疊或打開(kāi)

  1. {

  2.     "signing": {

  3.         "default": {

  4.             "expiry": "168h"

  5.         },

  6.         "profiles": {

  7.             "www": {

  8.                 "expiry": "8760h",

  9.                 "usages": [

  10.                     "signing",

  11.                     "key encipherment",

  12.                     "server auth"

  13.                 ]

  14.             },

  15.             "client": {

  16.                 "expiry": "8760h",

  17.                 "usages": [

  18.                     "signing",

  19.                     "key encipherment",

  20.                     "client auth"

  21.                 ]

  22.             }

  23.         }

  24.     }

  25. }


csr.json

點(diǎn)擊(此處)折疊或打開(kāi)

  1. {

  2.     "CN": "example.net",

  3.     "hosts": [

  4.         "example.net",

  5.         "www.example.net"

  6.     ],

  7.     "key": {

  8.         "algo": "ecdsa",

  9.         "size": 256

  10.     },

  11.     "names": [

  12.         {

  13.             "C": "US",

  14.             "L": "CA",

  15.             "ST": "San Francisco"

  16.         }

  17.     ]

  18. }

# 根據(jù)config.json文件的格式創(chuàng)建如下的ca-config.json文件
# 過(guò)期時(shí)間設(shè)置成了 87600h
ca-config.json

點(diǎn)擊(此處)折疊或打開(kāi)

  1. {

  2. "signing": {

  3.   "default": {

  4.     "expiry": "87600h"

  5.    },

  6.   "profiles": {

  7.      "kubernetes": {

  8.        "usages": [

  9.           "signing",

  10.           "key encipherment",

  11.           "server auth",

  12.           "client auth"

  13.         ],

  14.         "expiry": "87600h"

  15.        }

  16.     }

  17.   }

  18. }

ca-csr.json

點(diǎn)擊(此處)折疊或打開(kāi)

  1. {

  2.     "CN": "kubernetes",

  3.     "key": {

  4.         "algo": "rsa",

  5.         "size": 2048

  6.     },

  7.     "names": [

  8.         {

  9.             "C": "CN",

  10.             "L": "BeiJing",

  11.             "ST": "BeiJing",

  12.             "O": "k8s",

  13.             "OU": "System"

  14.         }

  15.     ]

  16. }

生成 CA 證書(shū)和私鑰
cfssl gencert -initca ca-csr.json | cfssljson -bare ca

四:創(chuàng)建 kubernetes 證書(shū)
kubernetes-csr.json

點(diǎn)擊(此處)折疊或打開(kāi)

  1. {

  2.     "CN": "kubernetes",

  3.     "hosts": [

  4.         "127.0.0.1",

  5.         "10.116.137.196",

  6.         "10.116.82.28",

  7.         "10.116.36.57",

  8.         "10.254.0.1",

  9.         "kubernetes",

  10.         "kubernetes.default",

  11.         "kubernetes.default.svc",

  12.         "kubernetes.default.svc.cluster",

  13.         "kubernetes.default.svc.cluster.local"

  14.     ],

  15.     "key": {

  16.     "algo":"rsa",

  17.     "size":2048

  18.     },

  19.     "names": [

  20.         {

  21.             "C": "CN",

  22.             "L": "BeiJing",

  23.             "ST": "BeiJing",

  24.             "O": "k8s",

  25.             "OU": "System"

  26.         }

  27.     ]

  28. }

生成 kubernetes 證書(shū)和私鑰
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kubernetes-csr.json | cfssljson -bare kubernetes

五: 創(chuàng)建 admin 證書(shū)
admin-csr.json

點(diǎn)擊(此處)折疊或打開(kāi)

  1. {

  2.     "CN": "admin",

  3.     "hosts": [],

  4.     "key": {

  5.     "algo":"rsa",

  6.     "size":2048

  7.     },

  8.     "names": [

  9.         {

  10.             "C": "CN",

  11.             "L": "BeiJing",

  12.             "ST": "BeiJing",

  13.             "O": "system:masters",

  14.             "OU": "System"

  15.         }

  16.     ]

  17. }

生成 admin 證書(shū)和私鑰
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes admin-csr.json | cfssljson -bare admin

六: 創(chuàng)建 kube-proxy 證書(shū)
kube-proxy-csr.json

點(diǎn)擊(此處)折疊或打開(kāi)

  1. {

  2.     "CN": "system:kube-proxy",

  3.     "hosts": [],

  4.     "key": {

  5.     "algo":"rsa",

  6.     "size":2048

  7.     },

  8.     "names": [

  9.         {

  10.             "C": "CN",

  11.             "L": "BeiJing",

  12.             "ST": "BeiJing",

  13.             "O": "k8s",

  14.             "OU": "System"

  15.         }

  16.     ]

  17. }

生成 kube-proxy 客戶端證書(shū)和私鑰
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kube-proxy-csr.json | cfssljson -bare kube-proxy

七:校驗(yàn)證書(shū)
舉例:cfssl-certinfo -cert kubernetes.pem

八:分發(fā)證書(shū)

將生成的證書(shū)和秘鑰文件(后綴名為 .pem )拷貝到所有機(jī)器的
/etc/kubernetes/ssl 目錄下備用;
mkdir -p /etc/kubernetes/ssl
cp *.pem /etc/kubernetes/ssl


關(guān)于“kubernetes中如何創(chuàng)建TLS證書(shū)和密鑰”這篇文章就分享到這里了,希望以上內(nèi)容可以對(duì)大家有一定的幫助,使各位可以學(xué)到更多知識(shí),如果覺(jué)得文章不錯(cuò),請(qǐng)把它分享出去讓更多的人看到。

向AI問(wèn)一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI