2. 程式人生 > 其它 >Cfssl生成etcd自簽證書(pem)

Cfssl生成etcd自簽證書(pem)

阿新 發佈:2021-12-15

CFSSL是CloudFlare開源的一款PKI/TLS工具,CFSSL包含一個命令列工具和一個用於簽名,驗證並且捆綁TLS證書的HTTP API服務,環境構建方面需要 Go 1.12+。

需要兩套證書,一套k8s通訊使用,一套etcd內部通訊使用

安裝一些實用的命令列工具,其中包括 cfssl、cfssljson。

cfssljson 程式,從 cfssl 獲取 JSON 輸出,並將證書、金鑰、CSR和 bundle 寫入指定位置。

環境配置

HostName | ip | etcd內部通訊埠 |外部通訊埠
infra0 | 192.168.1.106 | 2379 | 2380 |
infra1 | 192.168.1.108 | 2379 | 2380 |
infra2 | 192.168.1.109 | 2379 | 2380 |

=====================以下在操作在mstart 上執行=====================

一、下載證書生成工具

https://github.com/cloudflare/cfssl/releases/download/1.2.0/cfssl_linux-amd64
https://github.com/cloudflare/cfssl/releases/download/1.2.0/cfssljson_linux-amd64
https://github.com/cloudflare/cfssl/releases/download/1.2.0/cfssl-certinfo_linux-amd64

注:下載慢,可以使用第三方工具,迅雷下載,然後上傳至伺服器!

1、給所有工具設定執行許可權

yang@master:~$ sudo chmod +x cfssl*
yang@master:~$ ls
cfssl-certinfo_linux-amd64 cfssljson_linux-amd64 cfssl_linux-amd64

2、生成預設CA配置json配置檔案

yang@master:~$ sudo cfssl print-defaults config > ca-config.json
yang@master:~$ sudo cfssl print-defaults csr > ca-csr.json
yang@master:~$ ls
ca-config.json  ca-csr.json  cfssl-certinfo_linux-amd64  cfssljson_linux-amd64  cfssl_linux-amd64

A、ca-config.json檔案內容:

{
    "signing": {
        "default": {
            "expiry": "168h"
        },
        "profiles": {
            "www": {
                "expiry": "8760h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "server auth"
                ]
            },
            "client": {
                "expiry": "8760h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "client auth"
                ]
            }
        }
    }
}

B、ca-csr.json檔案內容:

{
    "CN": "example.net",
    "hosts": [
        "example.net",
        "www.example.net"
    ],
    "key": {
        "algo": "ecdsa",
        "size": 256
    },
    "names": [
        {
            "C": "US",
            "L": "CA",
            "ST": "San Francisco"
        }
    ]
}

3、生成CA證書

A、首先修改ca-config.json檔案內容:

yang@master:~$ cat ca-config.json
{
    "signing":{
        "default":{
            "expiry":"876000h"
        },
        "profiles":{
            "kubernetes":{
                "usages":[
                    "signing",
                    "key encipherment",
                    "server auth",
                    "client auth"
                ],
                "expiry":"876000h"
            }
        }
    }
}

欄位說明:

ca-config.json:可以定義多個 profiles,分別指定不同的過期時間、使用場景等引數;後續在簽名證書時使用某個 profile;

signing:表示該證書可用於簽名其它證書;生成的 ca.pem 證書中 CA=TRUE;

server auth:表示client可以用該 CA 對server提供的證書進行驗證;

client auth:表示server可以用該CA對client提供的證書進行驗證;

B、修改ca-csr.json檔案內容:

yang@master:~$ cat ca-csr.json 
{
  "CN": "CA",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "xian",
      "L": "shanxi",
      "O": "Kubernetes",
      "OU": "System"
    }
  ]
}

"CN":Common Name,etcd 從證書中提取該欄位作為請求的使用者名稱 (User Name);瀏覽器使用該欄位驗證網站是否合法;

"O":Organization,etcd 從證書中提取該欄位作為請求使用者所屬的組 (Group);

這兩個引數在後面的kubernetes啟用RBAC模式中很重要,因為需要設定kubelet、admin等角色許可權,那麼在配置證書的時候就必須配置對了。

C、生產CA證書和私鑰

命令:cfssl gencert -initca ca-csr.json | cfssljson -bare ca

yang@master:~$ cfssl gencert -initca ca-csr.json | cfssljson -bare ca
2021/12/15 02:29:56 [INFO] generating a new CA key and certificate from CSR
2021/12/15 02:29:56 [INFO] generate received request
2021/12/15 02:29:56 [INFO] received CSR
2021/12/15 02:29:56 [INFO] generating key: rsa-2048
2021/12/15 02:29:56 [INFO] encoded CSR
2021/12/15 02:29:56 [INFO] signed certificate with serial number 297280955480032641265224573714844144324135690602

D 、檢視生產證書檔案

yang@master:~$ ls
ca-config.json  ca.csr  ca-csr.json  ca-key.pem  ca.pem  cfssl-certinfo_linux-amd64  cfssljson_linux-amd64  cfssl_linux-amd64

說明:

根證書檔案: ca.pem
根證書私鑰: ca-key.pem
根證書申請檔案: ca.csr (csr是不是client ssl request?)

4、建立 etcd證書籤名請求(etcd-csr.json)

yang@master:~$ sudo nano etcd-csr.json
{
  "CN": "etcd",
  "hosts": [
    "127.0.0.1",
    "192.168.1.106",
    "192.168.1.108",
    "192.168.1.109"
  ],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "xian",
      "L": "shanxi",
      "O": "k8s",
      "OU": "System"
    }
  ]
}

說明:

如果 hosts 欄位不為空則需要指定授權使用該證書的 IP 或域名列表,由於該證書後續被 etcd 叢集使用,所以填寫IP即可。 因為本次部署etcd是三臺,那麼則需要填寫三臺伺服器的IP地址。

5、使用ca證書籤發etcd證書

yang@master:~$ sudo cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes etcd-csr.json | cfssljson -bare etcd
2021/12/15 02:30:47 [INFO] generate received request
2021/12/15 02:30:47 [INFO] received CSR
2021/12/15 02:30:47 [INFO] generating key: rsa-2048
2021/12/15 02:30:47 [INFO] encoded CSR
2021/12/15 02:30:47 [INFO] signed certificate with serial number 655402234356318897903430018951458950558238874375

A、檢視生成的etcd證書

yang@master:~$ ls
ca-config.json  ca-csr.json  ca.pem                      cfssljson_linux-amd64  etcd.csr       etcd-key.pem
ca.csr          ca-key.pem   cfssl-certinfo_linux-amd64  cfssl_linux-amd64      etcd-csr.json  etcd.pem

注:可以看出多了etcd.csr、etcd-key.pem、etcd.pem

B、將TLS 認證檔案拷貝至證書目錄下(三臺機器都拷貝)

yang@master:~$ sudo cp etcd*.pem ca*.pem /opt/kubernetes/ssl/
yang@master:/opt/kubernetes/ssl$ ls
ca-key.pem  ca.pem  etcd-key.pem  etcd.pem

此時,etcd證書生成完成!

  

相關推薦

Cfssl生成etcd證書(pem)

CFSSL是CloudFlare開源的一款PKI/TLS工具,CFSSL包含一個命令列工具和一個用於簽名,驗證並且捆綁TLS證書的HTTP API服務,環境構建方面需要 Go 1.12+。

使用CFSSL工具生成TLS簽名證書

當我們使用kubeadm去部署我們的kubernetes叢集的時候,證書生成和提供是可選的,這個時候我們可以定義生成自己的證書,來控制證書過期的時間,也可以給他加上我們自己的金鑰。

使用cfssl生成證書

cfssl用來為etcd提供tls證書,因此它支援籤三種類型的證書:client證書、server證書以及peer證書(即etcd叢集成員之間的tls認證)。cfssl採用使用配置檔案生成證書,因此籤之前,需要生成它識別的json格式的配置檔

python+opencv3生成一個定義純色圖教程

一、 影象在計算機中儲存為矩陣。矩陣上一個點表示一個畫素。若矩陣由一系列0~255的整數值組成,則表現為灰度圖。便於理解,以下貼出程式碼:

AndroidManifest.xml詳解(轉簡書)

研究AndroidManifest.xml最好的方式自然就是對照著官方文件詳細理解專案中每個欄位的作用,並且做出一些修改來驗證。

SSL證書介紹並使用openssl和cfssl生成SSL證書

1 SSL/TLS基本概念   SSL:Secure Socket Layer(安全套接層協議)的縮寫,可以在Internet上提供祕密性傳輸。它是在上世紀90年代中期,由Netscape公司設計,目前已有3.0版本。為啥要發明 SSL 這個協議呢?因為原

MySQL分散式環境下生成全域性增有序ID(雪花演算法Snowflake)

目錄 1 MySQL全域性ID 1.1 前言 1.2 ID生成要求 1.2.1 ID生成規則部分硬性要求 1.2.2 ID號生成系統可用性要求

定義ApiBoot Logging鏈路以及單元ID生成策略

ApiBoot Logging會為每一個請求都對應建立鏈路編號(TraceID)以及單元編號(SpanID),用於歸類每一次請求日誌,通過一個鏈路下日誌單元的Parent SpanID可以進行上下級關係的梳理。

小書MybatisPlus第3篇-定義SQL

本檔案為一個系列,前面章節: 小書MybatisPlus第1篇-整合SpringBoot快速開始增刪改查

定義Mybatis自動生成程式碼規則

前言 大家都清楚mybatis-generate-core 這個工程提供了獲取表資訊到生成model、dao、xml這三層程式碼的一個實現,但是這往往有一個痛點,比如需求來了,某個表需要增加欄位,肯定需要重新執行mybatis自動生成的指令碼

分散式系統為什麼不用增id,要用雪花演算法生成id???

1.為什麼資料庫id增和uuid不適合分散式id id增:當資料量龐大時,在資料庫分庫分表後,資料庫增id不能滿足唯一id來標識資料;因為每個表都按自己節奏增,會造成id衝突,無法滿足需求。分庫分表:分表就是把

迭代器,定義迭代器,面向過程程式設計,各種生成式,內建函式

一、迭代器 1、迭代器   what   器=》工具  迭代:是一個重複的過程,但每次重複都是基於上一次的結果而來的

mybatis-plus自動化生成程式碼情形下對定義typeHandler的支援

mybatis使用typeHandler的方法不具體展開了,例項很多 針對mybatis-plus框架下自動生成程式碼情形下,生成的mapper.xml是無欄位對映resultMap的。

.NET自動生成定義wsdl檔案

最近工作需要向第三方提供一個WebService服務,坑爹的是第三方背景牛X,我方提供的服務必須完全遵照其客戶端方預先定義好了的介面,一個符號都不允許修改。

自己製作ssl證書:自己簽發免費ssl證書,為nginx生成簽名ssl證書

https://www.cnblogs.com/weifeng1463/p/7943633.html 這裡說下Linux 系統怎麼通過openssl命令生成 證書

PHP + Redis 生成定義訂單編號

/** * 訂單編號生成規則 * 14位 = 6位時間 + 5位增 + 3位ID * @param string $prefix字首: 預設為order

vue 定指令生成uuid滾動監聽達到tab表格吸頂效果的程式碼

utils/index,.js /** * 生成UUID * @param withSeparator 是否有分割符 * @returns {string} */ export function generateUUID(withSeparator = true) {

redis每天生成增流水號(001、002...)

原理:利用redis的RedisAtomicLong類實現該功能:讓其每天第一次放置一個新的增的值(一天過期)然後和每天的日期相加就可以了例子: 20180901 + 001 ;當天就是 20180901 + 002如果要多少個0,可以自己配置(工具類中)

Java讀取OpenSSL生成PEM公鑰檔案操作

JDK8的JCE是不支援讀取PEM檔案的。需要使用bouncycastle。 專案需求,使用SHA1WithRSA演算法,對介面資料做簽名。

使用maven3生成定義的archetype

雖然maven提供很多archetype供開發者使用,但是在實際的工作中公司內部還是需要很多統一的,定製化的開發框架,這時使用定義的archetype生成專案框架就顯得尤為重要了。