Kubernetes(六)创建自签证书
证书
- 自签证书 (内网可以用)
- 权威机构颁发
生成证书常用的2种工具、openssl、cfssl
cfssl安装证书
使用脚本生成证书
一、下载脚本资源到服务器
TLS.tar.gz二、解压脚本
tar -zxvf TLS.tar.gz
三、解压完成会得到CTL文件夹,进入TLS文件夹
cd TLS
四、查看我们的SSL脚本
cat cfssl.sh
五、执行脚本
./cfssl.sh
六、执行完成就会创建/usr/local/bin/目录,cfssl工具就安装好了。查看/usr/local/bin/信息
ls /usr/local/bin/
七、生成证书,进入etcd目录
cd etcd/
八、里面有四个文件:
- ca-config.json 指CA机构
- ca-csr.json 指CA机构
- generate_etcd_cert.sh 创建证书的脚本
- server-csr.json 配置需要颁发证书的信息,域名、地区等
九、查看generate_etcd_cert.sh脚本信息
cat generate_etcd_cert.sh
输出如下2条命令:
# cfssl gencert -initca ca-csr.json | cfssljson -bare ca - #自建CA
# cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=www server-csr.json | cfssljson -bare server #创建serverCA
# cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=www server-csr.json | cfssljson -bare server #创建serverCA
十、首先自建一个CA
cfssl gencert -initca ca-csr.json | cfssljson -bare ca
ls *pem #可以看到创建成功的文件
十一、 设置给我们要颁发的域名、IP
vi server-csr.json
十二、执行颁发证书的脚本
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=www server-csr.json | cfssljson -bare server
十三、查看我们生成的证书
ls *pem
server.pem #相当于crt
server-key.pem #相当于key
如果要设置证书过期时间:
vi ca-config.json #默认是10年
