kubernetes学习:3.创建tls证书和秘钥

最新推荐文章于 2025-04-09 14:57:08 发布
最新推荐文章于 2025-04-09 14:57:08 发布
阅读量5.8k 收藏 11
点赞数 1
分类专栏: docker kubernetes总结
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/linux_player_c/article/details/79778863
版权
本文详细介绍了在Kubernetes环境中创建TLS证书和密钥的步骤,包括使用cfssl构建CA,创建并分发用于etcd、kube-apiserver、kubelet、kube-proxy和kubectl的证书,确保集群间安全的https通信。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

kubernete tls证书和秘钥

传输k8s各组件之间的通信可以使用http方式,但是为了安全起见,生产环境需要使用https方式通信,所以我们需要生成tls证书进行加密传输。

构建环境

再次介绍下我们本次搭建的环境:

节点名称 ip 配置
wecloud-test-k8s-1(master) 192.168.99.183 4核,4G,50G磁盘
wecloud-test-k8s-2(node1) 192.168.99.189 4核,4G,50G磁盘
wecloud-test-k8s-3(node2) 192.168.99.185 4核,4G,50G磁盘
wecloud-test-k8s-4(node3) 192.168.99.196 4核,4G,50G磁盘

生成tls证书的工具:cfssl

生成的 CA 证书和秘钥文件如下
ca-key.pem
ca.pem
kubernetes-key.pem
kubernetes.pem
kube-proxy.pem
kube-proxy-key.pem
admin.pem
admin-key.pem

使用证书的组件如下

etcd:使用 ca.pem、kubernetes-key.pem、kubernetes.pem;
kube-apiserver:使用 ca.pem、kubernetes-key.pem、kubernetes.pem;
kubelet:使用 ca.pem;
kube-proxy:使用 ca.pem、kube-proxy-key.pem、kube-proxy.pem;
kubectl:使用 ca.pem、admin-key.pem、admin.pem;
kube-controller-manager:使用 ca-key.pem、ca.pem

证书的创建过程是在192.168.99.183(master)节点上进行的,生成好证书只需要把证书分发给其他节点,这样就可以进行加密通信了。

安装tls和秘钥

安装cfssl

直接在官网下载cfssl相关二进制包:

wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64

增加可执行权限后,将可执行二进制文件拷贝到全局变量可以识别的目录/usr/local/bin:

[root@wecloud-test-k8s-1 ~]# chmod +x cfssl-certinfo_linux-amd64 
[root@wecloud-test-k8s-1 ~]# chmod +x cfssljson_linux-amd64 
[root@wecloud-test-k8s-1 ~]# chmod +x cfssl_linux-amd64 
[root@wecloud-test-k8s-1 ~]# mv cfssl_linux-amd64 /usr/local/bin/cfssl
[root@wecloud-test-k8s-1 ~]# mv cfssljson_linux-amd64 /usr/local/bin/cfssljson
[root@wecloud-test-k8s-1 ~]# mv cfssl-certinfo_linux-amd64 /usr/local/bin/cfssl-certinfo

创建CA文件

创建 CA 配置文件
[root@wecloud-test-k8s-1 ~]# mkdir /root/ssl
[root@wecloud-test-k8s-1 ~]# cd /root/ssl/
[root@wecloud-test-k8s-1 ssl]# cfssl print-defaults config > config.json
[root@wecloud-test-k8s-1 ssl]# cfssl print-defaults csr > csr.json

生成配置文件模板

cat > ca-config.json <<EOF
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "kubernetes": {
        "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ],
        "expiry": "87600h"
      }
    }
  }
}
EOF

expiry: 其中expiry是过期时间,可以指定多个;
signing: 表示该证书可以签名其他证书;
server auth: 表示客户端可以用该证书对服务端进行验证;
client auth: 表示服务端可以用该证书对客户端进行验证;

创建CA证书签名请求

创建ca-csr.json文件:

{
  "CN": "kubernetes",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "ZheJiang",
      "L": "HangZhou",
      "O": "k8s",
      "OU": "System"
    }
  ]
}
  • “CN”:Common Name,kube-apiserver 从证书中提取该字段作为请求的用户名 (User Name);浏览器使用该字段验证网站是否合法;
  • “O”:Organization,kube-apiserver 从证书中提取该字段作为请求用户所属的组 (Group);
生成 CA 证书和私钥
[root@wecloud-test-k8s-1 ssl]# cfssl gencert -initca ca-csr.json | cfssljson -bare ca
2018/04/01 17:16:31 [INFO] generating a new CA key and certificate from CSR
2018/04/01 17:16:31 [INFO] generate received request
2018/04/01 17:16:31 [INFO] received CSR
2018/04/01 17:16:31 [INFO] generating key: rsa-2048
2018/04/01 17:16:31 [INFO] encoded CSR
2018/04/01 17:16:31 [INFO] signed certificate with serial number 249255656321361266442489392967889104825701924957
[root@wecloud-test-k8s-1 ssl]# ls
ca-config.json  ca.csr  ca-csr.json  ca-key.pem  ca.pem  config.json  csr.json

ca-key.pem 和 ca.pem分别为生成的私钥和证书。

创建kubernetes证书

创建 kubernetes 证书签名请求文件 kubernetes-csr.json:

{
    "CN": "kubernetes",
    "hosts": [
      "127.0.0.1",
      "192.168.99.183",
      "192.168.99.189",
      "192.168.99.185",
      "192.168.99.196",
      "10.254.0.1",
      "kubernetes",
      "kubernetes.default",
      "kubernetes.default.svc",
      "kubernetes.default.svc.cluster",
      "kubernetes.default.svc.cluster.local"
    ],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "ST": "ZheJiang",
            "L": "HangZhou",
            "O": "k8s",
            "OU": "System"
        }
    ]
}

hosts 字段不为空则需要指定授权使用该证书的 IP 或域名列表,把我们整个集群需要的节点都添加进去。

生成kubernetes证书和私钥
[root@wecloud-test-k8s-1 ssl]# cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kubernetes-csr.json | cfssljson -bare kubernetes

查看生成结果:

[root@wecloud-test-k8s-1 ssl]# ls
ca-config.json  ca-csr.json  ca.
最低0.47元/天 解锁文章
03.生成Kubernetes集群证书文件
CodingDemo
12-26 800
K8S入门学习的难点是集群搭建,集群搭建的难点是tls证书这里我把证书生成的过程全部用脚本自动生成,默认有效期10年,希望能帮助各位快速入门。参考的官网文档(
Kubernetes证书篇:手动生成二进制kubernetes集群相关证书
东城绝神
04-24 2081
《《Kubernetes证书篇:二进制手动生成kubernetes集群相关证书
kubernetes证书生成
沈首二
11-04 1万+
kubernetes证书生成为了安全起见,建议在kubernetes中使用安全证书。在之前的文章中,而是统一在集群搭建中制造,并没有单独介绍证书的生成。本文将介绍kubernetes证书生成。一下文章将需要生成如下证书: 根证书公钥与私钥:ca.pem与ca-key.pem API Server公钥与私钥:apiserver.pem与apiserver-key.pem 集群管理员公钥与私钥:ad
第三章 kubernetes创建TLS证书秘钥
kubernetes中文社区
04-22 2341
创建TLS证书秘钥 前言 执行下列步骤前建议你先阅读以下内容: 管理集群中的TLS:教您如何创建TLS证书 kubelet的认证授权:向您描述如何通过认证授权来访问 kubelet 的 HTTPS 端点 TLSbootstrap:介绍如何为 kubelet 设置 TLS 客户端证书引导(bootstrap)。 注意:这一步是在安装配置kubernetes的所有步骤中最容易出错也最难...
mac电脑安装kubectl
最新发布
shengwei_1995的博客
04-09 175
【代码】mac电脑安装kubectl。
kubernetes(K8S)创建自签TLS证书
aiduo4911的博客
09-09 1319
TLS证书用于进行通信使用,组件需要证书关系如下: 组件 需要使用的证书 etcd ca.pem server.pem server-key.pem flannel ca.pem server.pem server-key.pem kube-apiserver ca.pem server.pem server-key.pem kubelet ca.pem c...
(3)二进制文件方式部署Kubernetes高可用集群----------创建TLS证书秘钥
一切有为法,如梦亦如幻,如露亦如电,应作如是观。
06-24 2109
目录 2 创建TLS证书秘钥 2.1 生成的CA证书密钥文件 2.2 使用证书的组件 2.3 二进制源码包安装cfssl 2.3.1 二进制源码包下载 2.3.2 默认安装路径 2.3.3 自定义安装路径 2.4 创建CA证书私钥 2.4.1 生成CA配置文件 2.4.2 编辑CA配置文件(ca-config.json) 2.4.2 编辑CA签名请求文件(ca-conf...
Kubernetes监控:Dashbaord 2.0.0部署之证书创建设定
知行合一 止于至善
02-02 2522
在前面一篇文章中介绍了Dashboard 2.0.0-rc3的使用,但是证书创建设定使用缺省方式,在这篇文章中将进一步进行说明如何从外部创建指定证书
TLS 证书秘钥
易拉罐子
01-09 1690
#创建 CA 配置文件 mkdir /root/ssl cd /root/ssl cfssl print-defaults config &amp;gt; config.json cfssl print-defaults csr &amp;gt; csr.json # 根据config.json文件的格式创建如下的ca-config.json文件 # 过期时间设置成了 8760h cat &amp;gt; ca-con...
K8S部署步骤:2-创建ca证书秘钥
bingzhilingyi的博客
08-15 4180
kubernetes系统各组件需要使用TLS(SSL)证书对通信进行加密,本文档使用CloudFlare的PKI工具集cfssl 来生成Certificate Authority (CA) 证书秘钥文件,CA是自签名的证书,用来签名后续创建的其它TLS证书。 在所有节点安装cfssl $ wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd6...
TLS证书
AcTarjan的博客
10-15 896
证书的作用 TLS证书在https协议用于验证服务器的身份,一般由权威机构CA(Certificate Authority)颁发。 证书的内容 证书 客户端向服务器发送https请求时 服务器会向客户端发送一个证书TLS证书) 客户端验证证书是否有效 ...
Kubernetes1.6集群部署完全指南——二进制文件部署开启TLS基于CentOS7
10-12
一步步的部署解析,非常详细。
SSL证书/TLS证书是什么
热门推荐
donghaixiaolongwang的博客
01-29 1万+
A. SSL协议与TLS是什么?它们的功能是什么? 答:SSL(Security Socket Layer)是一种广泛运用在互联网上的资料加密协议;TLS是SSL的下一代协议。透过它我们可以: 1. 在互联网上传输加密过的资料以达到资安的目的。 2. 保持从端点A到端点B的传送路途中资料的完整性。 3. 透过SSL证书内的公共金钥加密资料传输至服务器端,服务器端用私密金钥解密来证明
K8S使用Ingress 中 TLS 证书的集中配置与管理
IT程序员分享文章-宇哥网络科技
01-20 599
Kubernetes 集群的 Ingress 资源管理中,合理配置 TLS 证书对于保障服务的安全访问至关重要。当存在多个命名空间下的 Ingress 资源时,如何高效、集中地管理 TLS 证书成为一个关键问题。本文将探讨几种常见的方法,来实现将 TLS 证书指定到一个单独的命名空间下,以满足不同场景下的需求。
HTTPS之TLS证书
zijikanwa
11-16 7012
文章目录一. TLS概述1. TLS概述2. `HTTPS` 协议栈与 `HTTP` 的唯一区别3. TLS协议版本二. TLS证书格式1. 概述2. 示例:知乎网站证书解析(mac系统)3. 通过openssl获取证书的含义三. 证书链(Certificate Chain)1. 背景2. 概述3. 背景问题的解释参考资料 一. TLS概述 1. TLS概述 TLS 握手的作用之一是身份认证),被验证的一方需要提供一个身份证明。在 HTTPS 的世界里,这个身份证明就是 「TLS 证书」,或者称为
Kubernetes---证书配置
weixin_51431591的博客
04-16 589
Kubernetes---证书配置一、ca.pem & ca-key.pem & ca.csr二、token.csv三、bootstrap.kubeconfig四、kubectl五、kubelet六、kube-apiserver七、kube-controller-manager八、kube-scheduler && kube-proxy 一、ca.pem & ca-key.pem & ca.csr 建立完整TLS加密通信,需要有一个CA认证机构,会向客户端下发
TLS初探(2)证书简介
jjxojm的专栏
07-29 3465
      证书可以理解为签发方信息、拥有者信息、公钥以及签名(由签发方私钥签名)的集合(当然还有额外信息)。校验证书是否可信,实际就是检验该证书是否是由合法的签发方签发,验证的方法就是首先通过签发方信息找到对应的签发方证书,利用签发方证书中的公钥去校验签名是否正确。        从上述验证方法可以看出,实际上证书是否可信是由其签发方的证书来进行校验的,而签发方的证书的可信是由上一层签发方的证...
TLS/SSL证书彻底扫盲
程序员的世界
02-17 1387
TLS/SSL关于证书理解与单双向认证
探索 TLS 证书及其限制
weixin_43215013的博客
09-06 536
ISGR Root X1”颁发了一个名为“R11”的证书,使用“R11”,他们向我的网站颁发了证书“0x00.cl”这是一个信任链,如果您的浏览器或客户端可以信任根证书,例如“ISGR Root X1”,那么它也应该信任它颁发的证书。探索 TLS 证书当然很有趣,我确实学到了很多关于它们的知识,特别是因为我不得不多次阅读 RFC 5280,但也有点遗憾的是,虽然 1GB 证书在技术上可以工作,但最终它会受到客户端的限制,例如您的 Web 浏览器或 CLI 工具,如 curl。也许证书的大小是有限制的。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值