2.制作CA证书

这页内容,不特别声明。只在node1上做操作。

1.安装 CFSSL

[[email protected] ~]# cd /usr/local/src
[[email protected] src]# wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
[[email protected] src]# wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
[[email protected] src]# wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
[[email protected] src]# chmod +x cfssl*
[[email protected] src]# mv cfssl-certinfo_linux-amd64 /opt/kubernetes/bin/cfssl-certinfo
[[email protected] src]# mv cfssljson_linux-amd64  /opt/kubernetes/bin/cfssljson
[[email protected] src]# mv cfssl_linux-amd64  /opt/kubernetes/bin/cfssl

复制cfssl命令文件到k8s-node1和k8s-node2节点。如果实际中多个节点,就都需要同步复制。
[[email protected] ~]# scp /opt/kubernetes/bin/cfssl* 192.168.56.12: /opt/kubernetes/bin
[[email protected] ~]# scp /opt/kubernetes/bin/cfssl* 192.168.56.13: /opt/kubernetes/bin

在 ~/.bash_profile 添加环境变量(node1,node2,node3都要做)

[[email protected] ~]# vim ~/.bash_profile

PATH=$PATH:$HOME/bin:/opt/kubernetes/bin/

[[email protected] ~]# source ~/.bash_profile

2.初始化cfssl

[[email protected] bin]# cd /usr/local/src/

[[email protected] src]# mkdir ssl && cd ssl

3.创建用来生成 CA 文件的 JSON 配置文件

[[email protected] ssl]# vim ca-config.json
{
  "signing": {
    "default": {
      "expiry": "8760h"
    },
    "profiles": {
      "kubernetes": {
        "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ],
        "expiry": "8760h"
      }
    }
  }
}

4.创建用来生成 CA 证书签名请求(CSR)的 JSON 配置文件

[[email protected] ssl]# vim ca-csr.json
{
  "CN": "kubernetes",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "k8s",
      "OU": "System"
    }
  ]
}

5.生成CA证书(ca.pem)和密钥(ca-key.pem)

[[email protected] linux-node1 ssl]# cfssl gencert -initca ca-csr.json | cfssljson -bare ca
[[email protected] linux-node1 ssl]# ls -l ca*
-rw-r--r-- 1 root root  290 Mar  4 13:45 ca-config.json
-rw-r--r-- 1 root root 1001 Mar  4 14:09 ca.csr
-rw-r--r-- 1 root root  208 Mar  4 13:51 ca-csr.json
-rw------- 1 root root 1679 Mar  4 14:09 ca-key.pem
-rw-r--r-- 1 root root 1359 Mar  4 14:09 ca.pem

6.分发证书

# cp ca.csr ca.pem ca-key.pem ca-config.json /opt/kubernetes/ssl
SCP证书到k8s-node1和k8s-node2节点
# scp ca.csr ca.pem ca-key.pem ca-config.json 192.168.56.12:/opt/kubernetes/ssl
# scp ca.csr ca.pem ca-key.pem ca-config.json 192.168.56.13:/opt/kubernetes/ssl

原文地址:http://blog.51cto.com/maomaochong/2122642

时间: 2024-11-09 10:00:52

2.制作CA证书的相关文章

Kubernetes部署(三):CA证书制作

手动制作CA证书 1.安装 CFSSL [[email protected] ~]# cd /usr/local/src [[email protected] src]# wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 [[email protected] src]# wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 [[email protected] src]# wget https

CA证书应用二:制作带数字签名的PDF文档

接上期讲述了"CA证书应用一:Outlook发送邮件时,为邮件添加数字签名"之后,本期讲述如何给PDF文档添加数字签名. 大家都知道,如果想让一篇文档不再被修改,往往会制作为PDF格式.但是现在PDF文档很容易转化为Word格式,从而导致文档能进行第二次编辑.所以,如果想要确保PDF没有被别人修改,光制作成普通的PDF格式还不行,需要使用CA证书添加数字签名.具体实现方法如下: 一.安装Adobe Acrobat X Pro 制作PDF文档,当然需要先安装Adobe的PDF文档编辑工具

linux命令:CA证书制作及httpd服务器证书签核实例

实例:    实现httpd服务器,CA证书服务器,客户端访问httpd网页站点证书有效登录, 证书的安装及发放.openssl证书搭配https服务器配置. 准备工作:需要准备2台服务器: 1.第一台服务器先安装好httpd服务,上一章提到了httpd服务器配置与安装. 这里就不详细解释如何安装httpd和配置httpd服务器IP:10.109.134.249 2.第二台服务器作为CA证书签核服务器,CA证书服务器IP地址:10.109.134.236 1.先确认httpd是否安装过ssl模块

Web Server CA证书签名步骤和自签名测试,支持多域名

Web Server支持HTTPS访问需要两个文件,私钥和证书.私钥和证书都放在服务器上,私钥用来加密数据,证书传递给客户端.自己签名的证书在传递给浏览器的时,因为证书不被信任,所以会弹出连接不安全,一般点高级->继续浏览,还是可以访问网页.如果我们的证书被根证书厂商签名过的话,就不会弹出不安全的提示,浏览器地址栏一般还有绿色小锁标志.以下来说一下怎么一步步生成证书. 1. 使用openssl生成私钥文件server.key,以下的步骤都是在Ubuntu上的使用openssl操作的,需要注意一下

Tomcat SSL配置及Tomcat CA证书安装

Tomcat既可以作为独立的Servlet容器,也可以作为其他HTTP服务器附加的Servlet容器.如果Tomcat在非独立模式下工作, 通常不必配置SSL,由它从属的HTTP服务器来实现和客户的SSL通信.Tomcat和HTTP服务器之间的通信无须采用加密机制,HTTP服务器将解 密后的数据传给Tomcat,并把Tomcat发来的数据加密后传给客户. 如果Tomcat作为独立的Java Web服务器,则可以根据安全需要,为Tomcat配置SSL,它包含以下两个步骤: (1) 准备安全证书.

制作SSL证书

上一节介绍了OpenSSL的目录结构,本节介绍一下SSL证书的制作. OpenSSL安装后建议把其中的bin目录添加到系统环境变量中,方便以后操作. 建立一个新的目录SSL专门用来制作证书. 建立证书目录 我们使用默认配置openssl.cfg,那么就要建立配置中要求的目录demoCA,使用脚本CA.pl CA.pl -newca 把OpenSSL安装目录下的serial文件拷贝到demoCA目录下即可. 我们不使用demoCA提供的根证书,自己制作根证书,创建根证书的密钥文件pmroot.ke

CA证书应用一:Outlook发送邮件时,为邮件添加数字签名

CA证书在数字签名方面应用广泛,由于Windows很好地支持了RSA算法,所以很多Windows平台下的第三方应用支持RSA算法证书的密码应用.最近利用项目总结的机会,特别整理出Windows下常用的CA证书数字签名应用.计划分三篇博文,分别讲述以下三个方面的数字签名应用: 1.Outlook邮件添加数字签名 2.制作带数字签名的PDF文档 3.给Word/Excel文档添加数字签名 首先明确一点,使用CA证书制作的数字签名,不同于我们平常的个性签名.数字签名应用了密码技术,使得被签名的内容不可

制作SM2证书

前段时间将系统的RSA算法全部升级为SM2国密算法,密码机和UKey硬件设备大都同时支持RSA和SM2算法,只是应用系统的加解密签名验证需要修改,这个更改底层调用的加密动态库来,原来RSA用的对称加密算法DES(AES)和摘要MD5(SHA1)也相应改变,分别对应SM1.SM3算法,SM1算法基于硬件实现,SM2.SM3算法已公开. SM2签名验证算法 SM2签名同样也是需要先摘要原文数据,即先使用SM3密码杂凑算法计算出32byte摘要.SM3需要摘要签名方ID(默认1234567812345

手动为Android 4.x 手机添加自己的根证书(CA 证书)

首先看Android 4.x 系统的证书存放位置: AOSP Android系统中CA证书文件的位置在:/ system/etc/security/cacerts/一系列的以数字命名的.0文件 方法一: Android 4.0 已经支持用户安装根证书了,只需要将根证书放到sdcard根目录,然后到设置(Settings) – 安全(Security) – 从存储设备安装(Install from storage)就可以了,但是这样安装需要设置锁屏PIN或密码才可以. 但是,该操作需要每次打开手机