强>
<强> 强>:https://kubernetes。io/docs/设置/证书/
,但是这里的“套”的含义我们需要理解。强>
强> <强> 强>
。这样一来,被验证的证书自然都需要是被这同一个根CA对应的私钥签署,不然不能通过认证。
,一样可以上生产,但是理清这些证书的关系,在遇到因为证书错误,请求被拒绝的现象的时候,不至于无从下的手,而且如果没有搞清证书之间的关系,在维护或者解决问题的时候,贸然更换了证书,弄不好会把整个系统搞瘫。
<强> 强>
用TLS引导就可以省事儿很多。
<强> 强>
<强> 强>
强>
强>
强>
- <李>
李> <李>
李> <李>
李> <李>
李> <李>
李> <李>
李> <李>
李> <李>
李>
强>
- <李>
李> <李>
李> <李>
李> <李>
李> <李>
李> <李>
李>
# mkdir - p/usr/local/bin/cfssl root@dong本 (root@dong本)# wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 (root@dong本)# wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 (root@dong本)# wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 (root@dong本)# chmod + x cfssl * (root@dong本)# mv cfssl_linux-amd64/usr/local/bin/cfssl (root@dong本)# mv cfssljson_linux-amd64/usr/local/bin/cfssljson (root@dong本)# mv cfssl-certinfo_linux-amd64/usr/local/bin/cfssl-certinfo [root@dong本]#出口路径=/usr/地方/bin:美元路径
强>
[root@dong本]# mkdir - p/opt/kubernetes/ssl/[root@dong本]# cd/opt/kubernetes/ssl/
# vim ca-config.json root@dong ssl { “签署”:{ “默认”:{ “到期”:“87600 h” }, “简介”:{ " kubernetes ": { “用法”:( “签名”, “关键加密”, “服务器身份验证”, “客户端身份验证” ), “到期”:“87600 h” } } } }
,
# vim ca-csr.json root@dong ssl { “CN”:“kubernetes”, “关键”:{ “算法”:“rsa”, “大小”:2048 }, “名称”:[ { “C”:“CN”, “圣”:“北京”, “L”:“北京”, “O”:“美丽”, “你”:“系统” } ), “ca”: { “到期”:“87600 h” } }
强>
(root@dong ssl) # cfssl gencert -initca ca-csr。json | cfssljson光秃秃的ca (root@dong ssl) # ls | grep ca ca-config.json ca.csr ca-csr.json ca-key.pem ca.pem
强>
强>
# vim kubernetes-csr.json root@dong ssl { “CN”:“kubernetes”, “主机”:( “127.0.0.1”, “192.168.214.88”, “192.168.214.89”, “192.168.214.90”, “192.168.214.200”, “192.168.214.201”, “192.168.214.202”, “10.254.0.1”, “192.168.214.210”, “192.168.214.1/24”, “kubernetes”, “kube-api.wangdong.com”, “kubernetes.default”, “kubernetes.default.svc”, “kubernetes.default.svc.cluster”, “kubernetes.default.svc.cluster.local” ), “关键”:{ “算法”:“rsa”, “大小”:2048 }, “名称”:[ { “C”:“CN”, “圣”:“北京”, “L”:“北京”, “O”:“美丽”, “你”:“系统” } ] }
强>
(root@dong ssl) # cfssl gencert ca=ca。pem -ca-key=ca-key。pem配置=ca-config。json文件=kubernetes kubernetes-csr。json | cfssljson裸kubernetes (root@dong ssl) # ls | grep kubernetes kubernetes.csr kubernetes-csr.json kubernetes-key.pem kubernetes。pem
强>
# admin-csr.json root@dong ssl { “CN”:“管理”, “主机”:[], “关键”:{ “算法”:“rsa”, “大小”:2048 }, “名称”:[ { “C”:“CN”, “圣”:“北京”, “L”:“北京”, “O”:“系统:大师”, “你”:“系统” } ] }Kubernetes之二进制安装(二)证书详解