cfssl

作者: 钾肥尔德 | 来源:发表于2020-03-01 17:33 被阅读0次

cfssl
cfssl
Centos7二进制部署k8s（一） Etcd集群
Kubernetes证书相关(CFSSL)
cfssl openssl
k8s-10-kubelet
cfssl生成ca证书
cfssl 自签证书
cfssl 自签名证书
原创：利用 kubeadm 1.15 生成 etcd 证书

下载

wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
mv cfssl-certinfo_linux-amd64 /usr/local/bin/cfssl-certinfo
mv cfssl_linux-amd64 /usr/local/bin/cfssl
mv cfssljson_linux-amd64 /usr/local/bin/cfssljson
chmod +x /usr/local/bin/cfssl /usr/local/bin/cfssl-certinfo /usr/local/bin/cfssljson

创建CA

mkdir ~/ssl
cd ~/ssl
cfssl print-defaults config > config.json # 默认配置模板
cfssl print-defaults csr > csr.json #默认csr请求模板
cat > ca-config.json <<EOF
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "kubernetes": {
        "usages": [
          "signing",
          "key encipherment",
          "server auth",
          "client auth"
        ],
        "expiry": "87600h"
      }
    }
  }
}
EOF

# ca-config.json：可以定义多个 profiles，分别指定不同的过期时间、使用场景等参数；后续在签名证书时使用某个 profile；此实例只有一个kubernetes模板
# signing：表示该证书可用于签名其它证书；生成的 ca.pem 证书中 CA=TRUE
# server auth：表示client可以用该 CA 对server提供的证书进行验证
# client auth：表示server可以用该CA对client提供的证书进行验证

创建证书请求

cat > ca-csr.json <<EOF
{
  "CN": "kubernetes",    
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "GuangDong",
      "L": "ShenZhen",
      "O": "k8s",
      "OU": "System"
    }
  ],
  "ca": {
    "expiry": "87600h"
  }
}
EOF

# "CN"：Common Name，kube-apiserver 从证书中提取该字段作为请求的用户名 (User Name)
# "O"：Organization，kube-apiserver 从证书中提取该字段作为请求用户所属的组 (Group)

生成CA证书和私钥

cfssl gencert -initca ca-csr.json | cfssljson -bare ca
# 生成 ca-key.pem（私钥）  ca.pem（公钥）

创建kubernetes证书请求文件

cat > kubernetes-csr.json <<EOF
{
  "CN": "kubernetes",
  "hosts": [
    "127.0.0.1",
    "10.192.44.129",
    "10.192.44.128",
    "10.192.44.126",
    "10.192.44.127",
    "10.254.0.1",
    "*.kubernetes.master",
    "localhost",
    "kubernetes",
    "kubernetes.default",
    "kubernetes.default.svc",
    "kubernetes.default.svc.cluster",
    "kubernetes.default.svc.cluster.local"
  ],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "GuangDong",
      "L": "ShenZhen",
      "O": "k8s",
      "OU": "System"
    }
  ]
}
EOF
# hosts包含的是授权范围，不在此范围的的节点或者服务使用此证书就会报证书不匹配错误。
# 10.254.0.1是指kube-apiserver 指定的 service-cluster-ip-range 网段的第一个IP。
# hosts配置区域，即一个证书的网站可以是*.youku.com也是可以是*.google.com

kubernetes证书和私钥

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kubernetes-csr.json | cfssljson -bare kubernetes 
# -config 引用的是模板中的默认配置文件，-profiles是指定特定的使用场景，比如ca-config.json中的kubernetes区域

创建admin证书

cat > admin-csr.json <<EOF
{
  "CN": "admin",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "Shanghai",
      "L": "Shanghai",
      "O": "system:masters",
      "OU": "System"
    }
  ]
}
EOF

生成admin证书和私钥

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes admin-csr.json | cfssljson -bare admin

网友评论

本文标题：cfssl

本文链接：https://www.haomeiwen.com/subject/uzzckhtx.html

延伸阅读

深度阅读

您也可以注册成为美文阅读网的作者，发表您的原创作品、分享您的心情！

cfssl

下载

创建CA

创建证书请求

生成CA证书和私钥

创建kubernetes证书请求文件

kubernetes证书和私钥

创建admin证书

生成admin证书和私钥

相关文章

cfssl

cfssl

Centos7二进制部署k8s（一） Etcd集群

Kubernetes证书相关(CFSSL)

cfssl openssl

k8s-10-kubelet

cfssl生成ca证书

cfssl 自签证书

cfssl 自签名证书

原创：利用 kubeadm 1.15 生成 etcd 证书

网友评论

延伸阅读

深度阅读

栏目导航

热点阅读