四,Kubernetes_v1.14.2创建 CA 证书和秘钥
一,安装 cfssl 工具集(k8s-master01统一完成证书创建分发)使用cfssl生成CA证书需要单独安装cfssl。curl -L https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o /opt/kubernetes/bin/cfsslcurl -L https://pkg.cfssl.org/R1.2/cfssljson_linux...
·
一,安装 cfssl 工具集(k8s-master01统一完成证书创建分发)
使用cfssl生成CA证书需要单独安装cfssl。
curl -L https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o /opt/kubernetes/bin/cfssl
curl -L https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -o /opt/kubernetes/bin/cfssljson
curl -L https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -o /opt/kubernetes/bin/cfssl-certinfo
chmod +x /opt/kubernetes/bin/*#验证是否下载成功
ls -ld /opt/kubernetes/bin/cfssl /opt/kubernetes/bin/cfssljson /opt/kubernetes/bin/cfssl-certinfo
二,创建根证书 (CA)
CA 证书是集群所有节点共享的,只需要创建一个 CA 证书,后续创建的所有证书都由它签名
创建配置文件
CA 配置文件用于配置根证书的使用场景 (profile) 和具体参数 (usage,过期时间、服务端认证、客户端认证、加密等),后续在签名其它证书时需要指定特定场景
ca-config.json文件:
cd /opt/kubernetes/ssl cat > ca-config.json <<EOF { "signing": { "default": { "expiry": "87600h" }, "profiles": { "kubernetes": { "usages": [ "signing", "key encipherment", "server auth", "client auth" ], "expiry": "87600h" } } } } EOF
signing:表示该证书可用于签名其它证书,生成的ca.pem证书中CA=TRUE;server auth:表示 client 可以用该该证书对 server 提供的证书进行验证;client auth:表示 server 可以用该该证书对 client 提供的证书进行验证;
创建证书签名请求文件
ca-csr.json文件
cd /opt/kubernetes/ssl cat > ca-csr.json <<EOF { "CN": "kubernetes", "key": { "algo": "rsa", "size": 2048 }, "names": [ { "C": "CN", "ST": "BeiJing", "L": "BeiJing", "O": "k8s", "OU": "System" } ] } EOF
- CN:
Common Name,kube-apiserver 从证书中提取该字段作为请求的用户名 (User Name),浏览器使用该字段验证网站是否合法; - O:
Organization,kube-apiserver 从证书中提取该字段作为请求用户所属的组 (Group); - kube-apiserver 将提取的 User、Group 作为
RBAC授权的用户标识;
三,生成证书(ca-key.pem)和秘钥(ca.pem)
cfssl gencert -initca ca-csr.json | cfssljson -bare ca
#验证是否创建成功
ls -ld ca-config.json ca-csr.json ca.csr ca.pem ca-key.pem
四,分发证书到各个节点
将生成的 CA 证书、秘钥文件、配置文件拷贝到所有节点的 /opt/kubernetes/ssl 目录下
source /root/env.sh
for master_ip in ${MASTER_IPS[@]}
do
echo -e "\033[31m>>> ${master_ip} \033[0m"
ssh root@${master_ip} "mkdir -p /opt/kubernetes/ssl"
scp ca-config.json ca.csr ca.pem ca-key.pem root@${master_ip}:/opt/kubernetes/ssl
done#验证是否分发成功
source /root/env.sh
for master_ip in ${MASTER_IPS[@]}
do
echo -e "\033[31m>>> ${master_ip} \033[0m"
ssh root@${master_ip} "ls -ld /opt/kubernetes/ssl/ca*"
done
五,参考
各种 CA 证书类型:
https://github.com/kubernetes-incubator/apiserver-builder/blob/master/docs/concepts/auth.md
K8S/Kubernetes社区为您提供最前沿的新闻资讯和知识内容
更多推荐
1
0- 0
已为社区贡献27条内容
所有评论(0)