1、常規操作
由於k3s證書的預設過期時間是12個月，因此到期之前或不小心到期，需要輪換

其實官網有明確的說明以及處理辦法——但是你會發現按照官方處理辦法，基本上無法生效

這裡給一個一定可行的辦法

# 在其中一個節點上執行
k3s kubectl --insecure-skip-tls-verify=true delete secret k3s-serving -n kube-system

# 在每個節點上執行
rm -rf /var/lib/rancher/k3s/server/tls/dynamic-cert.json
systemctl restart k3s
1
2
3
4
5
6
以上的關鍵點就是 --insecure-skip-tls-verify=true

重點來了

2、黑科技：改證書時間為10年（或自定義時間）
上面的辦法雖好，但是生產環境我們肯定不願意每年都去搞一次，如何做？

我們知道，每一個證書，是有根證書籤發的，k3s服務證書，有自己的根證書
因此，我們只需要
1、找到k3s的根證書
2、設定正確的信任域和IP，設定你想要的時間，然後用來簽發一個新的證書
3、替換現有的k3s證書
就可以達到效果

說了一堆廢話，這裡給出最終辦法（由於大家都會用rancher，我這裡就以操作rancher來說明了，沒有rancher，通過kubectl命令也可以完成操作，具體我就不寫了，自行思考）

詳細步驟：

進入rancher，找到叢集->system->證書列表->k3s-serving
點開k3s-serving，拷貝域名中的所有內容做準備
使用本文最後的shell指令碼，拷貝到伺服器上執行該指令碼。其中引數要注意
–ssl-domain，需要指定為’k3s’。指令碼預設值已經設定好了
–ssl-trusted-domain，【【【需要指定為第二步拷貝的內容中，除了k3s的所有域名】】】
–ssl-trusted-ip，【【【需要指定為第二步拷貝的內容中的所有ip】】】

樣例參考為：./mktls.sh --ssl-domain=k3s --ssl-trusted-domain=kubernetes,kubernetes.default,kubernetes.default.svc,kubernetes.default.svc.cluster.local,localhost --ssl-trusted-ip=10.43.0.1,127.0.0.1,172.16.148.200,172.16.148.201,172.16.148.203,172.16.148.204 --ssl-size=2048 --ssl-date=3650 --k3s-server-ca-key=./CA.key --k3s-server-ca=./CA.crt
樣例中我專門指定了–k3s-server-ca-key和–k3s-server-ca（其預設值在指令碼中有描述），其實想說的是，我們把k3s的根證書和key內容拷貝出來到任何地方都可以執行
在rancher中編輯k3s-serving，用第三步生成的key和crt內容，更新對應的內容即可
至此，就完成了證書更新，媽媽再也不用擔心k3s過期了

附上詳細步驟中所述的指令碼
拷貝到機器上，chmod +x 之後執行即可

#!/bin/bash -e

# 用於製作k3s的服務證書。預設情況下，k3s證書一年內過期
# 通過官方說法，可以通過刪除 `k3s-serving`這個密文
# 以及刪除主機的/var/lib/rancher/k3s/server/tls/dynamic-cert.json檔案
# 之後，重啟k3s服務可以達到輪換證書的目標
# 但是這樣太麻煩，這裡提供的就是根據k3s的根證書製作一個新的證書，時間可自定義
# 然後把這個證書的key和crt在rancher介面上更換`k3s-serving`這個密文內容即可

help ()
{
echo ' ================================================================ '
echo ' --ssl-domain: 生成ssl證書需要的主域名，如不指定則預設為www.rancher.local，如果是ip訪問服務，則可忽略；'
echo ' --ssl-trusted-ip: 一般ssl證書只信任域名的訪問請求，有時候需要使用ip去訪問server，那麼需要給ssl證書新增擴充套件IP，多個IP用逗號隔開；'
echo ' --ssl-trusted-domain: 如果想多個域名訪問，則新增擴充套件域名（SSL_TRUSTED_DOMAIN）,多個擴充套件域名用逗號隔開；'
echo ' --ssl-size: ssl加密位數，預設2048；'
echo ' --ssl-cn: 國家程式碼(2個字母的代號),預設CN;'
echo ' --ssl-date: 有效天數;'
echo ' --k3s-server-ca-key: k3s根證書的key。預設在/var/lib/rancher/k3s/server/tls/server-ca.key'
echo ' --k3s-server-ca: k3s根證書。預設在/var/lib/rancher/k3s/server/tls/server-ca.crt'
echo ' 使用示例:'
echo ' ./k3s-update-server-cert.sh --ssl-domain=www.test.com --ssl-trusted-domain=www.test2.com \ '
echo ' --ssl-trusted-ip=1.1.1.1,2.2.2.2,3.3.3.3 --ssl-size=2048 --ssl-date=3650 --k3s-server-ca-key=./CAK.key --k3s-server-ca=./CA.crt'
echo ' ================================================================'
}

case "$1" in
-h|--help) help; exit;;
esac

if [[ $1 == '' ]];then
help;
exit;
fi

CMDOPTS="$*"
for OPTS in $CMDOPTS;
do
key=$(echo ${OPTS} | awk -F"=" '{print $1}' )
value=$(echo ${OPTS} | awk -F"=" '{print $2}' )
case "$key" in
--ssl-domain) SSL_DOMAIN=$value ;;
--ssl-trusted-ip) SSL_TRUSTED_IP=$value ;;
--ssl-trusted-domain) SSL_TRUSTED_DOMAIN=$value ;;
--ssl-size) SSL_SIZE=$value ;;
--ssl-date) SSL_DATE=$value ;;
--ca-date) CA_DATE=$value ;;
--ssl-cn) CN=$value ;;
--k3s-server-ca-key) CA_KEY=$value ;;
--k3s-server-ca) CA_CERT=$value ;;
esac
done

# CA相關配置
CA_DATE=${CA_DATE:-3650}
CA_DOMAIN=${CA_DOMAIN:-'k3s'}
CA_KEY=${CA_KEY:-'/var/lib/rancher/k3s/server/tls/server-ca.key'}
CA_CERT=${CA_CERT:-'/var/lib/rancher/k3s/server/tls/server-ca.crt'}

# ssl相關配置
SSL_CONFIG=${SSL_CONFIG:-$PWD/openssl.cnf}
SSL_DOMAIN=${SSL_DOMAIN:-'www.rancher.local'}
SSL_DATE=${SSL_DATE:-3650}
SSL_SIZE=${SSL_SIZE:-2048}

## 國家程式碼(2個字母的代號),預設CN;
CN=${CN:-CN}

SSL_KEY=$SSL_DOMAIN.key
SSL_CSR=$SSL_DOMAIN.csr
SSL_CERT=$SSL_DOMAIN.crt

echo -e "\033[32m ---------------------------- \033[0m"
echo -e "\033[32m | 生成 K3S 證書 | \033[0m"
echo -e "\033[32m ---------------------------- \033[0m"

echo -e "\033[32m ====> 1. 生成Openssl配置檔案 ${SSL_CONFIG} \033[0m"
cat > ${SSL_CONFIG} <<-EOF
[req]
req_extensions = v3_req
distinguished_name = req_distinguished_name
[req_distinguished_name]
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = clientAuth, serverAuth
EOF

if [[ -n ${SSL_TRUSTED_IP} || -n ${SSL_TRUSTED_DOMAIN} ]]; then
cat >> ${SSL_CONFIG} <<-EOF
subjectAltName = @alt_names
[alt_names]
EOF
IFS=","
dns=(${SSL_TRUSTED_DOMAIN})
dns+=(${SSL_DOMAIN})
for i in "${!dns[@]}"; do
echo DNS.$((i+1)) = ${dns[$i]} >> ${SSL_CONFIG}
done

if [[ -n ${SSL_TRUSTED_IP} ]]; then
ip=(${SSL_TRUSTED_IP})
for i in "${!ip[@]}"; do
echo IP.$((i+1)) = ${ip[$i]} >> ${SSL_CONFIG}
done
fi
fi

echo -e "\033[32m ====> 2. 生成SSL KEY ${SSL_KEY} \033[0m"
openssl genrsa -out ${SSL_KEY} ${SSL_SIZE}

echo -e "\033[32m ====> 3. 生成SSL CSR ${SSL_CSR} \033[0m"
openssl req -sha256 -new -key ${SSL_KEY} -out ${SSL_CSR} -subj "/C=${CN}/CN=${SSL_DOMAIN}" -config ${SSL_CONFIG}

echo -e "\033[32m ====> 4. 生成服務SSL CERT ${SSL_CERT} \033[0m"
openssl x509 -sha256 -req -in ${SSL_CSR} -CA ${CA_CERT} -CAkey ${CA_KEY} -CAcreateserial -out ${SSL_CERT} -days ${SSL_DATE} -extensions v3_req -extfile ${SSL_CONFIG}

————————————————
版權宣告：本文為CSDN博主「sb熙哥」的原創文章，遵循CC 4.0 BY-SA版權協議，轉載請附上原文出處連結及本宣告。
原文連結：https://blog.csdn.net/wangxi83/article/details/124389172