立即登录
博客 > 术业专攻> 云计算> kubernetes> Kubernetes学习笔记-手动搭建k8s-1.10.4之创建CA证书和秘钥 2019年08月29日 11:24:40
为确保安全,kubernetes 系统各组件需要使用 x509 证书对通信进行加密和认证。
CA (Certificate Authority) 是自签名的根证书,用来签名后续创建的其它证书。
本文档使用 CloudFlare 的 PKI 工具集 cfssl 创建所有证书。
从现在开始,所有的操作都在kube-node1的k8s用户家目录下执行。
wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
mv cfssljson_linux-amd64 /opt/k8s/bin/cfssljson
mv cfssl_linux-amd64 /opt/k8s/bin/cfssl
mv cfssl-certinfo_linux-amd64 /opt/k8s/bin/cfssl-certinfo
chmod +x /opt/k8s/bin/*
export PATH=/opt/k8s/bin:$PATH
CA 证书是集群所有节点共享的,只需要创建一个 CA 证书,后续创建的所有证书都由它签名。
CA 配置文件用于配置根证书的使用场景 (profile) 和具体参数 (usage,过期时间、服务端认证、客户端认证、加密等),后续在签名其它证书时需要指定特定场景。
cat > ca-config.json <cat > ca-csr.json <$cfssl gencert -initca ca-csr.json | cfssljson -bare ca
2018/11/23 22:46:19 [INFO] generating a new CA key and certificate from CSR
2018/11/23 22:46:19 [INFO] generate received request
2018/11/23 22:46:19 [INFO] received CSR
2018/11/23 22:46:19 [INFO] generating key: rsa-2048
2018/11/23 22:46:20 [INFO] encoded CSR
2018/11/23 22:46:20 [INFO] signed certificate with serial number 652945881726401134885162916242742430723518895911
$ls ca*
ca-config.json ca.csr ca-csr.json ca-key.pem ca.pem
将生成的 CA 证书、秘钥文件、配置文件拷贝到所有节点的 /etc/kubernetes/cert 目录下。
cat > magic.sh << "EOF"
#!/bin/bash
source /opt/k8s/bin/environment.sh
for node_ip in ${NODE_IPS[@]}
do
echo ">>> ${node_ip}"
scp ca*.pem ca-config.json k8s@${node_ip}:/etc/kubernetes/cert
done
EOF
© 2018 www.qingketang.net 鄂ICP备18027844号-1
武汉快勤科技有限公司 13554402156 武汉市东湖新技术开发区关山二路特一号国际企业中心6幢4层7号
扫码关注,全站教程免费播放
订单金额:
支付金额:
支付方式:
Kubernetes学习笔记-手动搭建k8s-1.10.4之部署kubectl命令行工具 
Kubernetes学习笔记-手动搭建k8s-1.10.4之系统初始化