高可用Kubernetes集群-2. ca证书与秘钥

OccamsRazor 2018-03-28

二.CA证书与秘钥

kubernetes集群安全访问有两种方式:"基于CA签名的双向数字证书认证"与"基于BASE或TOKEN的简单认证",生产环境推荐使用"基于CA签名的双向数字证书认证"。

本文档采用 CloudFlare 的 PKI 工具集 cfssl 来生成 Certificate Authority (CA) 证书和秘钥文件,CA 是自签名的证书,用来签名后续创建的其它 TLS 证书。

以kubenode1为例,kubenode2&kubenode3做适当小调整。

1.安装CFSSL

[root@kubenode1 ~]# mkdir -p /usr/local/cfssl
[root@kubenode1 ~]# cd /usr/local/cfssl/

# cfssl
[root@kubenode1 cfssl]# wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
[root@kubenode1 cfssl]# mv cfssl_linux-amd64 cfssl
[root@kubenode1 cfssl]# chmod +x cfssl

# cfssl-certinfo
[root@kubenode1 cfssl]# wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
[root@kubenode1 cfssl]# mv cfssl-certinfo_linux-amd64 cfssl-certinfo
[root@kubenode1 cfssl]# chmod +x cfssl-certinfo

# cfssljson
[root@kubenode1 cfssl]# wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
[root@kubenode1 cfssl]# mv cfssljson_linux-amd64 cfssljson
[root@kubenode1 cfssl]# chmod +x cfssljson

2.生成CA模板

# kubenode1节点完成即可
[root@kubenode1 ~]# cd /usr/local/cfssl/

# 生产CA配置文件模板
[root@kubenode1 cfssl]# cfssl print-defaults config > config.json

# 生产CA证书签名请求文件模板
[root@kubenode1 cfssl]# cfssl print-defaults csr > csr.json

3.CA配置文件

# kubenode1节点完成即可,以下的CA证书,签名等可通过scp分发到kubenode2&kubenode3;
# ca-config.json:1个profiles,分别指定不同的过期时间,使用场景等参数,根据需要在不同场景使用不同的profile签名证书;这里以生成的模板为基础修改;
# “signing”:表示该证书可用于签名其他证书,生成的ca.pem证书中CA=TRUE;
# ”server auth“:client可用该CA对server提供的证书进行验证;
# “client auth”:server可用该CA对client提供的证书进行验证;
# 注意每个模块或每行有或没有“,”的区别
[root@kubenode1 cfssl]# cp config.json ca-config.json
[root@kubenode1 cfssl]# vim ca-config.json
{
    "signing": {
        "default": {
            "expiry": "8760h"
        },
        "profiles": {
            "kubernetes": {
                "expiry": "8760h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "server auth",
                    "client auth"
                ]
            }
        }
    }
} 

4. CA证书签名请求

# “CN”:Common Name,kube-apiserver从证书中提取该字段作为请求的用户名(User Name);浏览器使用该字段验证网站是否合法;
# “O”:Organization,kube-apiserver从证书中提取该字段作为请求用户所属的组(Group)
[root@kubenode1 cfssl]# cp csr.json ca-csr.json
[root@kubenode1 cfssl]# vim ca-csr.json
{
    "CN": "kubernetes",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "ST": "ChengDu",
            "L": "ChengDu",
            "O": "k8s",
            "OU": "cloudteam"
        }
    ]
} 

5. 生成CA证书与秘钥

[root@kubenode1 cfssl]# cfssl gencert -initca ca-csr.json | cfssljson -bare ca
[root@kubenode1 cfssl]# ls ca*
高可用Kubernetes集群-2. ca证书与秘钥
# 简单查看
[root@kubenode1 cfssl]# cfssl-certinfo -cert ca.pem

6.分发CA证书

# 将生成的CA证书,秘钥,配置文件等分发到所有机器;
# ca-key.pem与ca.pem重要
[root@kubenode1 ~]# mkdir -p /etc/kubernetes/ssl
[root@kubenode1 ~]# cp /usr/local/cfssl/ca* /etc/kubernetes/ssl/
[root@kubenode1 ~]# scp /usr/local/cfssl/ca* [email protected]:/etc/kubernetes/ssl/
[root@kubenode1 ~]# scp /usr/local/cfssl/ca* [email protected]:/etc/kubernetes/ssl/
OccamsRazor

OccamsRazor

相关推荐

centos安装composer下载包curl时CA证书报错

curl performs SSL certificate verification by default, using a "bundle". of Certificate Authority public keys . If th

PinkBean / 0评论 2020-08-11

Linux系统搭建私有CA证书服务器

CA是Certificate Authority的简写,从字面意思翻译过来是凭证管理中心,认证授权。不同于生活中的颁发机构,这里的CA是给服务器颁发证书。从而识别我们访问的服务器的真假。后续双方就是通过这个随机密码来加密解密传输数据。

huangzonggui / 0评论 2020-01-29

EFK教程(4) - ElasticSearch集群TLS加密通讯

在第一篇《EFK教程 - 快速入门指南》中,阐述了EFK的安装部署,其中ElasticSearch的架构为三节点,即master、ingest、data角色同时部署在三台服务器上。?在第三篇《EFK教程 - ElasticSearch冷热数据分离》中,阐述

leodengzx / 0评论 2019-12-06

加解密总结(附助手类)

对称加密算法:DES、AES、IDEA、RC2、RC4、SKIPJACK……加解密使用相同密钥,这个是对称加密。对称加密优点是速度快。非对称加密算法:RSA、DSA、DH、ECC、EL GAMAL……无论消息有多长,计算出的摘要长度都是固定的,MD5没有S

baike / 0评论 2019-12-05

部署前期准备工作

本文章使用CloudFlare的PKI工具cfssl创建所有证书。CA是自签名的根证书,用来签名后续创建的其他证书。CA配置文件用于配置根证书的使用场景和具体参数。CN CommonName,kube-apiserver从证书中提取该字段作为请求的用户名,

CurrentJ / 0评论 2019-12-05

fiddler抓包的一些基本知识整理

fiddler常用命令:selelct xx: 高亮显示所有的text,js,image等响应类型?fiddler的工作原理:首先fiddler截获客户端浏览器发送给服务器的https请求, 此时还未建立握手。第四步, fiddler将截获的密文用自己伪造

jianghero / 0评论 2019-12-04

https介绍及SSL证书生成(Https系列一)

https介绍及SSL证书生成一:https的简单介绍HTTPS,是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL。一个有效、可信的 SSL 数字证书包括一个公共密钥和一个私用密钥。公共密钥用于

yutian0 / 0评论 2017-09-25

Nginx配置HTTPS

购买完之后,进入CA证书管理后台.域名解析 和 文件判断 .这里就不做太多说明了. 我选的是域名解析.key生成方式,我也是选择的由阿里云生成.等待他们审核完成.这里把我的nginx的配置项发到这里.配置完成后,检查一下nginx配置文件是否可用,有suc

xiedengmin / 0评论 2019-06-27

nodejs中request库使用HTTPS代理的方法

正在尝试改用NodeJS编写爬虫,http请求库选择了 request ,用起来还是挺简单的。现在有个需求,需要用Fiddler抓包我发出去的请求,以便和浏览器发出去的包进行对比。因为需要解密HTTPS报文,需要让node要么忽略证书安全,要么信任Fidd

yuleng测试赛 / 0评论 2019-04-30

JAVA写HTTP代理服务器(三)-https明文捕获

上一篇用netty实现的http代理服务器还无法对https报文进行解密,原因也说了,就是服务器的私钥不在我们这,根据RSA公钥加密私钥解密的特性,如果我们没有私钥的话是不可能获取到https的真实内容的,那有没有什么办法解密https的报文呢,当然有通过

agou专家书院 / 0评论 2019-06-25

Linux Apache SSL证书安装

(现在的服务器一般都已经预装了,可以直接直接跳到下一步。)安装Openssl有两种方式:1)下载源码编译安装:推荐下载安装openssl-0.9.8k.tar.gz. openssl默认将被安装到/usr/local/ssl 2)使用软件管理工具进行安装:

SmartPhone / 0评论 2019-04-03

Nginx自签CA 配置HTTPS加密反向代理访问

出于公司内部访问考虑,采用的CA是本机OpenSSL自签名生成的,因此无法通过互联网工信Root CA验证,所以会出现该网站不受信任或安全证书无效的提示,直接跳过,直接访问即可!3,如果RootCA验证不通过,说明该证书是未获得合法的RootCA签名和授权

xiaohanshasha / 0评论 2015-04-27

详解nginx使用ssl模块配置支持HTTPS访问

项目开发中用到了微信小程序,但是服务器配置URL必须是HTTPS,所以需要通过配置nginx的SSL模块来支持HTTPS访问,也就是说,要做一个网站域名为 dmsdbj.com 要求通过HTTPS://dmsdbj.com进行访问.SSL英文名为Secur

skyMata / 0评论 2018-08-08

设置CA证书来强化PostgreSQL的安全性的教程

在经历了多次的摸索实验后我终于成功地实现了SSL证书认证的功能,因此我想这次我要把这些步骤记录下来供日后查阅。出于安全和方便的原因,我要在一台单独的专用机器上签署客户的证书,这台机器也称为 证书授证中心。这让我们在授权新的客户端时不必先登录到Postgre

TonyDong / 0评论 2019-04-01

【CentOS】阿里云ECS申请CA证书配置SSL

本文记录阿里云ECS申请CA证书流程先到阿里云控制台找到CA证书服务,这里两台ECS都已经申请签发了证书,如果是还没申请的就在“状态”中点击补全;进去后填写完个人信息后,这里选择免费证书;}接着在浏览器访问是否配置成功,如果看到如下信息,证明成功;}再让n

就一个未完成的故事而已 / 0评论 2018-01-09

创建私有CA服务器

通俗地说,证书就好比公章。通过公章,可以证明相关文件确实是对应的公司发出的。理论上,人人都可以找个证书工具,自己做一个证书。CA全称Certificate Authority,也叫“证书授权中心”。它是负责管理和签发证书的第三方机构。CA证书,就是CA颁发

安在信息安全新媒体 / 0评论 2018-01-09