主頁 > 軟體設計 > 使用KubernetesCSR的SAN證書

使用KubernetesCSR的SAN證書

2022-06-02 12:41:26 軟體設計

我正在嘗試使用 CSR 在 Kubernetes 中獲得 SAN 證書。下面列出了我遵循的步驟,但不知何故,生成的證書中沒有主題備用名稱欄位。有人可以指出這里做錯了什么嗎?

// 生成密鑰

openssl genrsa -out myuser.key 4096

// 使用以下命令生成 CSR subjectAltName

openssl req -newkey rsa:4096 -nodes -keyout myuser.key -subj "/C=CN/ST=GD/L=SZ/CN=myuser/subjectAltName=myuser.default.svc" -out myuser.csr

//在 kubernetes 中創建 CSR,讓 kubernetes 集群 CA 對其進行簽名。

cat <<EOF | kubectl apply -f -
apiVersion: certificates.k8s.io/v1
kind: CertificateSigningRequest
metadata:
  name: myuser
spec:
  request: $(cat myuser.csr |base64 |tr -d '\n')
  signerName: kubernetes.io/kube-apiserver-client
  expirationSeconds: 86400  # one day
  usages:
  - client auth
EOF

// 批準 CSR

kubectl certificate approve  myuser

// 獲取 Kubernetes CA 簽名證書:

kubectl get csr myuser   -o go-template='{{.status.certificate| base64decode}}' > myuser.crt

// 結果證書沒有主題替代名稱欄位。

openssl x509 -in myuser.crt  -noout -text
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            d8:f3:86:63:3b:dc:ae:9a:de:9b:e4:02:89:c9:4f:27
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN = kubernetes
        Validity
            Not Before: May 29 19:44:39 2022 GMT
            Not After : May 30 19:44:39 2022 GMT
        Subject: C = CN, ST = GD, L = SZ, CN = myuser
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (4096 bit)
                Modulus:
                    00:87:d0:0b:b0:64:dd:f9:93:22:96:91:b1:64:78:
                    ac:3b:02:9e:92:20:46:2e:3a:b7:7b:c5:e1:de:67:
                    d8:33:87:08:4b:02:b1:8a:2b:d0:b3:f1:d1:3d:17:
                    ec:ad:52:c9:d6:56:1d:35:ba:80:18:14:d5:59:f7:
                    9d:d2:fc:97:61:90:32:ca:ce:b3:d2:74:a7:73:32:
                    df:8e:ad:00:77:7d:ff:3f:27:96:0f:48:ee:06:29:
                    d2:06:ed:13:7c:89:14:12:e6:c3:50:c3:46:31:a3:
                    6b:36:8b:07:17:c0:69:20:04:ac:dc:0e:75:7b:5b:
                    d7:79:98:30:2e:14:9a:b4:57:09:ce:43:2c:ad:af:
                    4d:77:50:75:de:0e:41:93:a4:d3:24:78:b2:de:48:
                    0f:1d:9f:4c:57:7c:bc:87:09:73:44:8c:7f:ee:3a:
                    8c:33:03:29:18:6d:d1:d9:ec:ad:71:b8:cc:ce:47:
                    4d:0d:38:78:7e:e5:79:bf:7d:77:c7:4e:ac:75:f6:
                    0d:cf:f1:d6:73:c8:f6:bc:f1:65:7f:f5:7b:07:5d:
                    20:31:dd:dd:23:3c:9b:50:73:16:19:56:d0:a2:f5:
                    10:85:85:cb:36:b6:b8:d3:f9:91:15:b8:a0:ca:3a:
                    ef:92:31:32:f1:a1:3c:0c:b5:59:e7:a0:93:ed:fa:
                    6c:9e:be:7c:34:3b:8d:28:72:9c:8d:3a:19:e8:bf:
                    b4:44:b6:3b:31:9d:00:7d:7b:c1:6b:bb:60:9b:47:
                    e1:65:a2:80:c9:c1:b6:7e:28:40:4a:1c:f0:53:3a:
                    a4:fb:72:2b:8d:92:ad:1f:9d:a3:cc:65:45:ff:db:
                    0a:d1:85:6d:f4:b5:93:f7:5d:6d:d9:8f:90:81:2e:
                    55:0e:02:a9:17:7c:a6:31:76:76:6e:e9:18:7e:57:
                    2f:fb:f0:30:8b:11:bf:cd:f9:fe:32:c5:eb:45:fa:
                    bd:98:83:3a:4b:ca:13:9b:1c:13:14:16:81:fd:d0:
                    b4:05:05:32:76:19:d8:07:bc:bc:4a:f3:41:ff:bc:
                    73:38:2e:d3:20:7d:39:4e:3e:08:79:c0:af:a9:76:
                    9d:38:d0:a8:b1:af:9a:7f:b6:73:30:eb:dd:ed:2e:
                    00:4d:75:0b:8b:5e:eb:ea:4a:5e:37:e0:f2:8f:9c:
                    06:ea:da:63:65:9d:8c:6d:db:3e:1f:3d:d6:a1:d4:
                    f1:00:f4:1d:69:cf:f9:48:e0:3f:51:5b:17:61:2d:
                    0d:73:98:45:99:e8:7f:67:03:fd:22:1f:eb:61:de:
                    0e:2a:2d:9f:8d:cf:2f:e9:10:53:96:b3:5c:89:c7:
                    d4:a4:bb:00:18:1f:97:da:46:b0:a8:37:26:d0:ab:
                    b2:fb:f5
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Extended Key Usage:
                TLS Web Client Authentication
            X509v3 Basic Constraints: critical
                CA:FALSE
            X509v3 Authority Key Identifier:
                53:24:BB:4F:1D:3E:3A:4B:83:EB:DC:89:92:44:40:78:78:32:3B:67
    Signature Algorithm: sha256WithRSAEncryption
    Signature Value:
        48:1f:40:80:0e:00:40:10:e1:1e:73:ca:5c:3b:ec:5a:d7:59:
        69:40:ce:9f:10:d0:32:ee:85:9e:68:21:56:91:b9:e3:68:e0:
        d9:94:a8:93:41:37:68:23:79:f4:94:79:50:d2:0f:e8:cc:81:
        9e:3c:cf:1e:ee:92:4c:c5:fb:17:04:52:73:01:2e:2d:42:29:
        ed:bf:35:f8:73:56:60:40:80:e2:f4:f1:ef:57:e1:6f:43:71:
        d0:d2:b0:38:96:ee:af:9d:21:e7:84:da:af:87:2e:38:21:6e:
        03:ae:d8:8c:d0:4b:2e:c2:a8:e5:7e:d8:0e:a7:e0:4b:37:5d:
        e9:12:c4:ec:94:bc:23:4c:cc:59:72:60:c1:18:d0:ec:64:1c:
        2e:e3:76:26:1a:60:1a:4d:92:83:c7:54:8f:4d:95:42:26:09:
        be:6b:ec:e7:39:3b:3c:f2:cc:37:42:4d:71:6e:ca:9c:fa:dc:
        f6:3e:00:84:be:68:b4:3a:f4:f9:91:5d:9b:a8:8b:66:e2:bc:
        25:8b:38:5a:03:7d:97:80:7e:20:35:15:76:20:70:6f:54:66:
        a2:02:36:91:84:e8:e7:10:8d:48:31:44:b4:c7:b7:3c:d0:be:
        c1:61:d3:01:64:fa:1a:c0:74:2d:8c:c7:19:81:30:64:86:9e:
        5e:ac:7e:16

uj5u.com熱心網友回復:

嘗試這個:

$> cat <<EOF >openssl.cnf
[ req ]
default_bits = 2048
prompt = no
default_md = sha256
req_extensions = req_ext
distinguished_name = dn

[ dn ]
C = <country>
ST = <state>
L = <city>
O = <organization>
OU = <organization unit>
CN = <MASTER_IP>

[ req_ext ]
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = myuser
DNS.2 = myuser.default.svc
DNS.3 = myuser.default.svc.cluster.local

[ v3_ext ]
authorityKeyIdentifier=keyid,issuer:always
basicConstraints=CA:FALSE
keyUsage=keyEncipherment,dataEncipherment
extendedKeyUsage=serverAuth,clientAuth
subjectAltName=@alt_names
EOF

$> openssl req -newkey rsa:4096 -nodes -keyout myuser.key -subj "/C=CN/ST=GD/L=SZ/CN=myuser" -out myuser.csr -config openssl.cnf

$> openssl req -text -noout -verify -in myuser.csr 
....
    Attributes:
    Requested Extensions:
        X509v3 Subject Alternative Name: 
            DNS:myuser,  ...

這應該足以讓簽名證書包含這些。使用您向我們展示的命令時:您的 CSR 中缺少此擴展。


旁注,而不是:

$(cat myuser.csr |base64 |tr -d '\n')

你可以:

$(base64 -w0 myuser.csr)

轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/484832.html

標籤:ssl Kubernetes openssl

上一篇:將引數作為物件與字串傳入函式有什么區別

下一篇:在discord.js中如何知道今天是什么

標籤雲
其他(157675) Python(38076) JavaScript(25376) Java(17977) C(15215) 區塊鏈(8255) C#(7972) AI(7469) 爪哇(7425) MySQL(7132) html(6777) 基礎類(6313) sql(6102) 熊猫(6058) PHP(5869) 数组(5741) R(5409) Linux(5327) 反应(5209) 腳本語言(PerlPython)(5129) 非技術區(4971) Android(4554) 数据框(4311) css(4259) 节点.js(4032) C語言(3288) json(3245) 列表(3129) 扑(3119) C++語言(3117) 安卓(2998) 打字稿(2995) VBA(2789) Java相關(2746) 疑難問題(2699) 细绳(2522) 單片機工控(2479) iOS(2429) ASP.NET(2402) MongoDB(2323) 麻木的(2285) 正则表达式(2254) 字典(2211) 循环(2198) 迅速(2185) 擅长(2169) 镖(2155) 功能(1967) .NET技术(1958) Web開發(1951) python-3.x(1918) HtmlCss(1915) 弹簧靴(1913) C++(1909) xml(1889) PostgreSQL(1872) .NETCore(1853) 谷歌表格(1846) Unity3D(1843) for循环(1842)

熱門瀏覽
  • 面試突擊第一季,第二季,第三季

    第一季必考 https://www.bilibili.com/video/BV1FE411y79Y?from=search&seid=15921726601957489746 第二季分布式 https://www.bilibili.com/video/BV13f4y127ee/?spm_id_fro ......

    uj5u.com 2020-09-10 05:35:24 more
  • 第三單元作業總結

    1.前言 這應該是本學期最后一次寫作業總結了吧。總體來說,對作業的節奏也差不多掌握了,作業做起來的效率也更高了。雖然和之前的作業一樣,作業中都要用到新的知識,但是相比之前,更加懂得了如何利用工具以及資料。雖然之間卡過殼,但總體而言,這幾次作業還算完成的比較好。 2.作業程序總結 相比前兩個單元,此單 ......

    uj5u.com 2020-09-10 05:35:41 more
  • 北航OO(2020)第四單元博客作業暨課程總結博客

    北航OO(2020)第四單元博客作業暨課程總結博客 本單元作業的架構設計 在本單元中,由于UML圖具有比較清晰的樹形結構,因此我對其中需要進行查詢操作的元素進行了包裝,在樹的父節點中存盤所有孩子的參考。考慮到性能問題,我采用了快取機制,一次查詢后盡可能快取已經遍歷過的資訊,以減少遍歷次數。 本單元我 ......

    uj5u.com 2020-09-10 05:35:48 more
  • BUAA_OO_第四單元

    一、UML決議器設計 ? 先看下題目:第四單元實作一個基于JDK 8帶有效性檢查的UML(Unified Modeling Language)類圖,順序圖,狀態圖分析器 MyUmlInteraction,實際上我們要建立一個有向圖模型,UML中的物件(元素)可能與同級元素連接,也可與低級元素相連形成 ......

    uj5u.com 2020-09-10 05:35:54 more
  • 6.1邏輯運算子

    邏輯運算子 1. && 短路與 運算式1 && 運算式2 01.運算式1為true并且運算式2也為true 整體回傳為true 02.運算式1為false,將不會執行運算式2 整體回傳為false 03.只要有一個運算式為false 整體回傳為false 2. || 短路或 運算式1 || 運算式2 ......

    uj5u.com 2020-09-10 05:35:56 more
  • BUAAOO 第四單元 & 課程總結

    1. 第四單元:StarUml檔案決議 本單元采用了圖模型決議UML。 UML檔案可以抽象為圖、子圖、邊的邏輯結構。 在實作中,圖的節點包括類、介面、屬性,子圖包括狀態圖、順序圖等。 采用了三次遍歷UML元素的方法建圖,第一遍遍歷建點,第二、三次遍歷設定屬性、連邊,實作圖物件的初始化。這里借鑒了一些 ......

    uj5u.com 2020-09-10 05:36:06 more
  • 談談我對C# 多型的理解

    面向物件三要素:封裝、繼承、多型。 封裝和繼承,這兩個比較好理解,但要理解多型的話,可就稍微有點難度了。今天,我們就來講講多型的理解。 我們應該經常會看到面試題目:請談談對多型的理解。 其實呢,多型非常簡單,就一句話:呼叫同一種方法產生了不同的結果。 具體實作方式有三種。 一、多載 多載很簡單。 p ......

    uj5u.com 2020-09-10 05:36:09 more
  • Python 資料驅動工具:DDT

    背景 python 的unittest 沒有自帶資料驅動功能。 所以如果使用unittest,同時又想使用資料驅動,那么就可以使用DDT來完成。 DDT是 “Data-Driven Tests”的縮寫。 資料:http://ddt.readthedocs.io/en/latest/ 使用方法 dd. ......

    uj5u.com 2020-09-10 05:36:13 more
  • Python里面的xlrd模塊詳解

    那我就一下面積個問題對xlrd模塊進行學習一下: 1.什么是xlrd模塊? 2.為什么使用xlrd模塊? 3.怎樣使用xlrd模塊? 1.什么是xlrd模塊? ?python操作excel主要用到xlrd和xlwt這兩個庫,即xlrd是讀excel,xlwt是寫excel的庫。 今天就先來說一下xl ......

    uj5u.com 2020-09-10 05:36:28 more
  • 當我們創建HashMap時,底層到底做了什么?

    jdk1.7中的底層實作程序(底層基于陣列+鏈表) 在我們new HashMap()時,底層創建了默認長度為16的一維陣列Entry[ ] table。當我們呼叫map.put(key1,value1)方法向HashMap里添加資料的時候: 首先,呼叫key1所在類的hashCode()計算key1 ......

    uj5u.com 2020-09-10 05:36:38 more
最新发布
  • 【中介者設計模式詳解】C/Java/JS/Go/Python/TS不同語言實作

    * 中介者模式是一種行為型設計模式,它可以用來減少類之間的直接依賴關系,
    * 將物件之間的通信封裝到一個中介者物件中,從而使得各個物件之間的關系更加松散。
    * 在中介者模式中,物件之間不再直接相互互動,而是通過中介者來中轉訊息。 ......

    uj5u.com 2023-04-20 08:20:47 more
  • 露天煤礦現場調研和交流案例分享

    他們集團的資訊化公司及研究院在一個礦區正在做智能礦山的統一平臺的 試點,專案投資大概1億,包括了礦山的各方面的內容,顯示得我們這次交流有點多余。他們2年前開始做智能礦山的規劃,有很多煤礦行業專家的加持,他們的描述是非常完美,但是去年底應該上線的平臺,現在還沒有看到影子。他們確實有很多場景需求,但是被... ......

    uj5u.com 2023-04-20 08:20:25 more
  • 《社區人員管理》實戰案例設計&個人案例分享

    設計是一個讓人夢想成真程序,開始編碼、測驗、除錯之前進行需求分析和架構設計,才能保證關鍵方面都做正確 ......

    uj5u.com 2023-04-20 08:20:17 more
  • 軟體架構生態化-多角色交付的探索實踐

    作為一個技術架構師,不僅僅要緊跟行業技術趨勢,還要結合研發團隊現狀及痛點,探索新的交付方案。在日常中,你是否遇到如下問題 “ 業務需求排期長研發是瓶頸;非研發角色感受不到研發技改提效的變化;引入ISV 團隊又擔心質量和安全,培訓周期長“等等,基于此我們探索了一種新的技術體系及交付方案來解決如上問題。 ......

    uj5u.com 2023-04-20 08:20:10 more
  • 【中介者設計模式詳解】C/Java/JS/Go/Python/TS不同語言實作

    * 中介者模式是一種行為型設計模式,它可以用來減少類之間的直接依賴關系,
    * 將物件之間的通信封裝到一個中介者物件中,從而使得各個物件之間的關系更加松散。
    * 在中介者模式中,物件之間不再直接相互互動,而是通過中介者來中轉訊息。 ......

    uj5u.com 2023-04-20 08:19:44 more
  • 露天煤礦現場調研和交流案例分享

    他們集團的資訊化公司及研究院在一個礦區正在做智能礦山的統一平臺的 試點,專案投資大概1億,包括了礦山的各方面的內容,顯示得我們這次交流有點多余。他們2年前開始做智能礦山的規劃,有很多煤礦行業專家的加持,他們的描述是非常完美,但是去年底應該上線的平臺,現在還沒有看到影子。他們確實有很多場景需求,但是被... ......

    uj5u.com 2023-04-20 08:19:07 more
  • 《社區人員管理》實戰案例設計&個人案例分享

    設計是一個讓人夢想成真程序,開始編碼、測驗、除錯之前進行需求分析和架構設計,才能保證關鍵方面都做正確 ......

    uj5u.com 2023-04-20 08:18:57 more
  • 軟體架構生態化-多角色交付的探索實踐

    作為一個技術架構師,不僅僅要緊跟行業技術趨勢,還要結合研發團隊現狀及痛點,探索新的交付方案。在日常中,你是否遇到如下問題 “ 業務需求排期長研發是瓶頸;非研發角色感受不到研發技改提效的變化;引入ISV 團隊又擔心質量和安全,培訓周期長“等等,基于此我們探索了一種新的技術體系及交付方案來解決如上問題。 ......

    uj5u.com 2023-04-20 08:18:49 more
  • 05單件模式

    #經典的單件模式 public class Singleton { private static Singleton uniqueInstance; //一個靜態變數持有Singleton類的唯一實體。 // 其他有用的實體變數寫在這里 //構造器宣告為私有,只有Singleton可以實體化這個類! ......

    uj5u.com 2023-04-19 08:42:51 more
  • 【架構與設計】常見微服務分層架構的區別和落地實踐

    軟體工程的方方面面都遵循一個最基本的道理:沒有銀彈,架構分層模型更是如此,每一種都有各自優缺點,所以請根據不同的業務場景,并遵循簡單、可演進這兩個重要的架構原則選擇合適的架構分層模型即可。 ......

    uj5u.com 2023-04-19 08:42:41 more