Kubernetes之二进制安装(二)证书详解

  


<强> :https://kubernetes。io/docs/设置/证书/


,但是这里的“套”的含义我们需要理解。

<强>

。这样一来,被验证的证书自然都需要是被这同一个根CA对应的私钥签署,不然不能通过认证。

,一样可以上生产,但是理清这些证书的关系,在遇到因为证书错误,请求被拒绝的现象的时候,不至于无从下的手,而且如果没有搞清证书之间的关系,在维护或者解决问题的时候,贸然更换了证书,弄不好会把整个系统搞瘫。

<强>

用TLS引导就可以省事儿很多。

<强>

<强>

<李>

<李>

<李>

<李>

<李>

<李>

<李>

<李>

<李>

<李>

<李>

<李>

<李>

<李>


# mkdir - p/usr/local/bin/cfssl root@dong本   (root@dong本)# wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64   (root@dong本)# wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64   (root@dong本)# wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64   (root@dong本)# chmod + x cfssl *   (root@dong本)# mv cfssl_linux-amd64/usr/local/bin/cfssl   (root@dong本)# mv cfssljson_linux-amd64/usr/local/bin/cfssljson   (root@dong本)# mv cfssl-certinfo_linux-amd64/usr/local/bin/cfssl-certinfo   [root@dong本]#出口路径=/usr/地方/bin:美元路径

[root@dong本]# mkdir - p/opt/kubernetes/ssl/[root@dong本]# cd/opt/kubernetes/ssl/


# vim ca-config.json root@dong ssl   {   “签署”:{   “默认”:{   “到期”:“87600 h”   },   “简介”:{   " kubernetes ": {   “用法”:(   “签名”,   “关键加密”,   “服务器身份验证”,   “客户端身份验证”   ),   “到期”:“87600 h”   }   }   }   }

,


# vim ca-csr.json root@dong ssl   {   “CN”:“kubernetes”,   “关键”:{   “算法”:“rsa”,   “大小”:2048   },   “名称”:[   {   “C”:“CN”,   “圣”:“北京”,   “L”:“北京”,   “O”:“美丽”,   “你”:“系统”   }   ),   “ca”: {   “到期”:“87600 h”   }   }

(root@dong ssl) # cfssl gencert -initca ca-csr。json | cfssljson光秃秃的ca   (root@dong ssl) # ls | grep ca   ca-config.json   ca.csr   ca-csr.json   ca-key.pem   ca.pem

# vim kubernetes-csr.json root@dong ssl   {   “CN”:“kubernetes”,   “主机”:(   “127.0.0.1”,   “192.168.214.88”,   “192.168.214.89”,   “192.168.214.90”,   “192.168.214.200”,   “192.168.214.201”,   “192.168.214.202”,   “10.254.0.1”,   “192.168.214.210”,   “192.168.214.1/24”,   “kubernetes”,   “kube-api.wangdong.com”,   “kubernetes.default”,   “kubernetes.default.svc”,   “kubernetes.default.svc.cluster”,   “kubernetes.default.svc.cluster.local”   ),   “关键”:{   “算法”:“rsa”,   “大小”:2048   },   “名称”:[   {   “C”:“CN”,   “圣”:“北京”,   “L”:“北京”,   “O”:“美丽”,   “你”:“系统”   }   ]   }

(root@dong ssl) # cfssl gencert ca=ca。pem -ca-key=ca-key。pem配置=ca-config。json文件=kubernetes kubernetes-csr。json | cfssljson裸kubernetes   (root@dong ssl) # ls | grep kubernetes   kubernetes.csr   kubernetes-csr.json   kubernetes-key.pem   kubernetes。pem

# admin-csr.json root@dong ssl   {   “CN”:“管理”,   “主机”:[],   “关键”:{   “算法”:“rsa”,   “大小”:2048   },   “名称”:[   {   “C”:“CN”,   “圣”:“北京”,   “L”:“北京”,   “O”:“系统:大师”,   “你”:“系统”   }   ]   }

Kubernetes之二进制安装(二)证书详解