Kubernetes部署(三):CA证书制作

手动制作CA证书

1.安装 CFSSL

[[email protected]  ~]# cd /usr/local/src
[[email protected]  src]# wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
[[email protected]  src]# wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
[[email protected]  src]# wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
[[email protected]  src]# chmod +x cfssl*
[[email protected]  src]# mv cfssl-certinfo_linux-amd64 /data/kubernetes/bin/cfssl-certinfo
[[email protected]  src]# mv cfssljson_linux-amd64  /data/kubernetes/bin/cfssljson
[[email protected]  src]# mv cfssl_linux-amd64  /data/kubernetes/bin/cfssl
复制cfssl命令文件拷贝到所有节点
[[email protected]  ~]# scp /data/kubernetes/bin/cfssl* 10.31.90.201: /data/kubernetes/bin
[[email protected]  ~]# scp /data/kubernetes/bin/cfssl* 10.31.90.202: /data/kubernetes/bin
将/data/kubernetes/bin加入环境变量
[[email protected] ~]# echo ‘PATH=/data/kubernetes/bin:$PATH‘ >>/etc/profile
[[email protected] ~]# source /etc/profile

2.初始化cfssl

生产初始配置文件,我们根据这些文件改

[[email protected]  src]# mkdir ssl && cd ssl
[[email protected]  ssl]# cfssl print-defaults config > config.json
[[email protected]  ssl]# cfssl print-defaults csr > csr.json

3.创建用来生成 CA 文件的 JSON 配置文件

server auth表示client可以用该ca对server提供的证书进行验证

client auth表示server可以用该ca对client提供的证书进行验证

[[email protected] ssl]# vim ca-config.json
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "kubernetes": {
        "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ],
        "expiry": "87600h"
      }
    }
  }
}

4.创建用来生成 CA 证书签名请求(CSR)的 JSON 配置文件

[[email protected] ssl]# vim ca-csr.json
{
  "CN": "kubernetes",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "k8s",
      "OU": "System"
    }
  ]
}

5.生成CA证书(ca.pem)和密钥(ca-key.pem)

[[email protected] ssl]# cfssl gencert -initca ca-csr.json | cfssljson -bare ca
[[email protected] ssl]# ls -l ca*
-rw-r--r-- 1 root root  292 Dec 24 16:11 ca-config.json
-rw-r--r-- 1 root root 1001 Dec 24 16:15 ca.csr
-rw-r--r-- 1 root root  208 Dec 24 16:14 ca-csr.json
-rw------- 1 root root 1679 Dec 24 16:15 ca-key.pem
-rw-r--r-- 1 root root 1359 Dec 24 16:15 ca.pem

6.分发证书

[[email protected] ssl]# cp ca.csr ca.pem ca-key.pem ca-config.json /data/kubernetes/ssl
SCP证书到所有节点
[[email protected] ssl]# for n in `seq 202 206`;do scp ca.csr ca.pem ca-key.pem ca-config.json [email protected]$n:/data/kubernetes/ssl;done
ca.cs

后续会陆续更新所有的安装文档,如果你觉得我写的不错,希望大家多多关注点赞,非常感谢!

原文地址:http://blog.51cto.com/billy98/2334704

时间: 2024-11-09 10:00:46

Kubernetes部署(三):CA证书制作的相关文章

Centos7部署kubernetes集群CA证书创建和分发(二)

1.解压软件包 [[email protected] ~]# cd /usr/local/src/ [[email protected] src]# ls k8s-v1.10.1-manual.zip [[email protected] src]# unzip k8s-v1.10.1-manual.zip [[email protected] src]# cd k8s-v1.10.1-manual [[email protected] k8s-v1.10.1-manual]# cd k8s-v

linux命令:CA证书制作及httpd服务器证书签核实例

实例:    实现httpd服务器,CA证书服务器,客户端访问httpd网页站点证书有效登录, 证书的安装及发放.openssl证书搭配https服务器配置. 准备工作:需要准备2台服务器: 1.第一台服务器先安装好httpd服务,上一章提到了httpd服务器配置与安装. 这里就不详细解释如何安装httpd和配置httpd服务器IP:10.109.134.249 2.第二台服务器作为CA证书签核服务器,CA证书服务器IP地址:10.109.134.236 1.先确认httpd是否安装过ssl模块

Kubernetes部署(十二):helm部署harbor企业级镜像仓库

相关内容: Kubernetes部署(一):架构及功能说明Kubernetes部署(二):系统环境初始化Kubernetes部署(三):CA证书制作Kubernetes部署(四):ETCD集群部署Kubernetes部署(五):Haproxy.Keppalived部署Kubernetes部署(六):Master节点部署Kubernetes部署(七):Node节点部署Kubernetes部署(八):Flannel网络部署Kubernetes部署(九):CoreDNS.Dashboard.Ingre

CA证书应用一:Outlook发送邮件时,为邮件添加数字签名

CA证书在数字签名方面应用广泛,由于Windows很好地支持了RSA算法,所以很多Windows平台下的第三方应用支持RSA算法证书的密码应用.最近利用项目总结的机会,特别整理出Windows下常用的CA证书数字签名应用.计划分三篇博文,分别讲述以下三个方面的数字签名应用: 1.Outlook邮件添加数字签名 2.制作带数字签名的PDF文档 3.给Word/Excel文档添加数字签名 首先明确一点,使用CA证书制作的数字签名,不同于我们平常的个性签名.数字签名应用了密码技术,使得被签名的内容不可

kubernetes部署之创建TLS证书(2)

研究过kubernetes的同事们都知道,kubernetes如果需要启用TLS认证,那么制作证书是必不可少的一步.然而,很多人在制作证书上遇到了很多的麻烦.今天主要记录一次我在部署kubernetes的过程中,是如何制作证书的.在整个过程中,将详细列出各组件的启动参数,给出配置文件,以及详解它们的含义和可能遇到的问题. 一.部署前准备 1.1 主机环境 环境参考ETCD集群部署,这里会增加一个VIP(192.168.15.200),用户实现kubernetes master高可用: 1.2 安

CA证书应用二:制作带数字签名的PDF文档

接上期讲述了"CA证书应用一:Outlook发送邮件时,为邮件添加数字签名"之后,本期讲述如何给PDF文档添加数字签名. 大家都知道,如果想让一篇文档不再被修改,往往会制作为PDF格式.但是现在PDF文档很容易转化为Word格式,从而导致文档能进行第二次编辑.所以,如果想要确保PDF没有被别人修改,光制作成普通的PDF格式还不行,需要使用CA证书添加数字签名.具体实现方法如下: 一.安装Adobe Acrobat X Pro 制作PDF文档,当然需要先安装Adobe的PDF文档编辑工具

kubernetes ingress(三): traefik: 多域名及证书配置

目标: 部署三个服务traefik-ui,grafana,prometheus,并通过traefik 反向代理. service namespaces domain name https traefik-ui traefik traefik.qyd.com Y grafana kube-system grafana.dfb.com N prometheus kube-system prometheus.qyd.com Y 步骤: 1.部署traefik 相关资源yml https://githu

weblogic服务部署ca证书

老大的需求把公司weblogic服务器由http访问方式为https 前提ca证书自己颁发不由统一的ca机构申请 一.环境准备 安装JDK(可选) Weblogic安装后自带JDK安装.如果您直接在服务器上生成证书请求,请进入Weblogic安装目录下JDK所在路径的bin目录,运行keytool命令.如果您需要在其他环境下生成证书请求文件,则您可以选择安装JDK,并稍后上传生成的密钥库文件keystore.jks到服务器上进行配置. 步骤 1.   进入jdk安装目录bin文件下,通过keyt

CA证书应用三:给Word/Excel文档添加数字签名

本期介绍CA证书另外一个应用:给Word/Excel文档添加数字签名. 当我们完成一篇Word文档或者一个Excel表格后,如果希望该文档或者Excel表格不再被别人修改,那么此时可以给文档或者Excel表格加上自己的数字签名.具体步骤如下: 一.准备工作 1.自己的数字证书,一般为CA中心颁发的UKey: 2.已经完成的Word文档(或者Excel表格). 二.添加签名 1.打开要签名的文档,如下图中的测试文档: 2.将UKey接入PC,选择Word的"文件"-〉"保护文档