一 創建CA證書和密鑰
1.1 安裝cfssl工具集
1 [root@master01 ~]# mkdir -p /opt/k8s/cert 2 3 [root@master01 ~]# curl -L https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o /opt/k8s/bin/cfssl #下載cfssl軟體 4 [root@master01 ~]# curl -L https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -o /opt/k8s/bin/cfssljson #下載json模板 5 [root@master01 ~]# curl -L https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -o /opt/k8s/bin/cfssl-certinfo 6 [root@master01 ~]# chmod u+x /opt/k8s/bin/*
提示:本步驟操作僅需要在master01節點操作,
1.2 創建根證書組態檔
1 [root@master01 ~]# mkdir -p /opt/k8s/work 2 [root@master01 ~]# cd /opt/k8s/work 3 [root@master01 work]# cfssl print-defaults config > config.json 4 [root@master01 work]# cfssl print-defaults csr > csr.json #創建模版配置json檔案 5 [root@master01 work]# cp config.json ca-config.json #復制一份作為CA的組態檔 6 [root@master01 work]# cat > ca-config.json <<EOF 7 { 8 "signing": { 9 "default": { 10 "expiry": "876000h" 11 }, 12 "profiles": { 13 "kubernetes": { 14 "expiry": "876000h", 15 "usages": [ 16 "signing", 17 "key encipherment", 18 "server auth", 19 "client auth" 20 ] 21 } 22 } 23 } 24 } 25 EOF
欄位解釋:
config.json:可以定義多個profiles,分別指定不同的過期時間、使用場景等引數;后續在簽名證書時使用某個profile;
- signing: 表示該證書可用于簽名其它證書;生成的ca.pem 證書中CA=TRUE;
- server auth: 表示client 可以用該CA 對server 提供的證書進行校驗;
- client auth: 表示server 可以用該CA 對client 提供的證書進行驗證;
- "expiry": "876000h":表示證書有效期設定為 100 年,
提示:本步驟操作僅需要在master01節點操作,
1.3 創建根證書簽名請求檔案
1 [root@master01 work]# cp csr.json ca-csr.json #復制一份作為CA的證書簽名請求檔案 2 [root@master01 work]# cat > ca-csr.json <<EOF 3 { 4 "CN": "kubernetes", 5 "key": { 6 "algo": "rsa", 7 "size": 2048 8 }, 9 "names": [ 10 { 11 "C": "CN", 12 "ST": "Shanghai", 13 "L": "Shanghai", 14 "O": "k8s", 15 "OU": "System" 16 } 17 ], 18 "ca": { 19 "expiry": "876000h" 20 } 21 } 22 EOF
提示:本步驟操作僅需要在master01節點操作,
欄位解釋:
- CN: Common Name,kube-apiserver 從證書中提取該欄位作為請求的用戶名(User Name);瀏覽器使用該欄位驗證網站是否合法;
- C:country;
- ST:state;
- L:city;
- O: Organization,kube-apiserver 從證書中提取該欄位作為請求用戶所屬的組(Group);
- OU:organization unit,
1 [root@master01 work]# cfssl gencert -initca ca-csr.json | cfssljson -bare ca #生成CA密鑰(ca-key.pem)和證書(ca.pem)
提示:生成證書后,Kubernetes集群需要雙向TLS認證,則可將ca-key.pem和ca.pem拷貝到所有要部署的機器的/etc/kubernetes/ssl目錄下,不同證書 csr 檔案的 CN、C、ST、L、O、OU 組合必須不同,否則可能出現 PEER'S CERTIFICATE HAS AN INVALID SIGNATURE 錯誤;
后續創建證書的 csr 檔案時,CN 都不相同(C、ST、L、O、OU 相同),以達到區分的目的;
更多TLS證書創建方式參考《附008.Kubernetes TLS證書介紹及創建》,
1.3 分發證書
1 [root@master01 ~]# cd /opt/k8s/work 2 [root@master01 work]# source /root/environment.sh 3 [root@master01 work]# for all_ip in ${ALL_IPS[@]} 4 do 5 echo ">>> ${all_ip}" 6 ssh root@${all_ip} "mkdir -p /etc/kubernetes/cert" 7 scp ca*.pem ca-config.json root@${all_ip}:/etc/kubernetes/cert 8 done
提示:本步驟操作僅需要在master01節點操作,
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/156452.html
標籤:Linux
上一篇:電腦螢屏太小不夠用?這有妙招!