k3s证书过期的处理 以及 修改k3s证书有效期为10年(或自定义时间)

1、常规操作
由于k3s证书的默认过期时间是12个月,因此到期之前或不小心到期,需要轮换

其实官网有明确的说明以及处理办法——但是你会发现按照官方处理办法,基本上无法生效

这里给一个一定可行的办法

# 在其中一个节点上执行
k3s kubectl --insecure-skip-tls-verify=true delete secret k3s-serving -n kube-system

# 在每个节点上执行
rm -rf /var/lib/rancher/k3s/server/tls/dynamic-cert.json
systemctl restart k3s
1
2
3
4
5
6
以上的关键点就是 --insecure-skip-tls-verify=true

重点来了

2、黑科技:改证书时间为10年(或自定义时间)
上面的办法虽好,但是生产环境我们肯定不愿意每年都去搞一次,如何做?

我们知道,每一个证书,是有根证书签发的,k3s服务证书,有自己的根证书
因此,我们只需要
1、找到k3s的根证书
2、设置正确的信任域和IP,设置你想要的时间,然后用来签发一个新的证书
3、替换现有的k3s证书
就可以达到效果

说了一堆废话,这里给出最终办法(由于大家都会用rancher,我这里就以操作rancher来说明了,没有rancher,通过kubectl命令也可以完成操作,具体我就不写了,自行思考)

详细步骤:

进入rancher,找到集群->system->证书列表->k3s-serving
点开k3s-serving,拷贝域名中的所有内容做准备
使用本文最后的shell脚本,拷贝到服务器上执行该脚本。其中参数要注意
–ssl-domain,需要指定为’k3s’。脚本默认值已经设定好了
–ssl-trusted-domain,【【【需要指定为第二步拷贝的内容中,除了k3s的所有域名】】】
–ssl-trusted-ip,【【【需要指定为第二步拷贝的内容中的所有ip】】】


样例参考为:./mktls.sh --ssl-domain=k3s --ssl-trusted-domain=kubernetes,kubernetes.default,kubernetes.default.svc,kubernetes.default.svc.cluster.local,localhost --ssl-trusted-ip=10.43.0.1,127.0.0.1,172.16.148.200,172.16.148.201,172.16.148.203,172.16.148.204 --ssl-size=2048 --ssl-date=3650 --k3s-server-ca-key=./CA.key --k3s-server-ca=./CA.crt
样例中我专门指定了–k3s-server-ca-key和–k3s-server-ca(其默认值在脚本中有描述),其实想说的是,我们把k3s的根证书和key内容拷贝出来到任何地方都可以执行
在rancher中编辑k3s-serving,用第三步生成的key和crt内容,更新对应的内容即可
至此,就完成了证书更新,妈妈再也不用担心k3s过期了

 


附上详细步骤中所述的脚本
拷贝到机器上,chmod +x 之后执行即可

 

#!/bin/bash -e

# 用于制作k3s的服务证书。默认情况下,k3s证书一年内过期
# 通过官方说法,可以通过删除 `k3s-serving`这个密文
# 以及删除主机的/var/lib/rancher/k3s/server/tls/dynamic-cert.json文件
# 之后,重启k3s服务可以达到轮换证书的目标
# 但是这样太麻烦,这里提供的就是根据k3s的根证书制作一个新的证书,时间可自定义
# 然后把这个证书的key和crt在rancher界面上更换`k3s-serving`这个密文内容即可

help ()
{
echo ' ================================================================ '
echo ' --ssl-domain: 生成ssl证书需要的主域名,如不指定则默认为www.rancher.local,如果是ip访问服务,则可忽略;'
echo ' --ssl-trusted-ip: 一般ssl证书只信任域名的访问请求,有时候需要使用ip去访问server,那么需要给ssl证书添加扩展IP,多个IP用逗号隔开;'
echo ' --ssl-trusted-domain: 如果想多个域名访问,则添加扩展域名(SSL_TRUSTED_DOMAIN),多个扩展域名用逗号隔开;'
echo ' --ssl-size: ssl加密位数,默认2048;'
echo ' --ssl-cn: 国家代码(2个字母的代号),默认CN;'
echo ' --ssl-date: 有效天数;'
echo ' --k3s-server-ca-key: k3s根证书的key。默认在/var/lib/rancher/k3s/server/tls/server-ca.key'
echo ' --k3s-server-ca: k3s根证书。默认在/var/lib/rancher/k3s/server/tls/server-ca.crt'
echo ' 使用示例:'
echo ' ./k3s-update-server-cert.sh --ssl-domain=www.test.com --ssl-trusted-domain=www.test2.com \ '
echo ' --ssl-trusted-ip=1.1.1.1,2.2.2.2,3.3.3.3 --ssl-size=2048 --ssl-date=3650 --k3s-server-ca-key=./CAK.key --k3s-server-ca=./CA.crt'
echo ' ================================================================'
}

case "$1" in
-h|--help) help; exit;;
esac

if [[ $1 == '' ]];then
help;
exit;
fi

CMDOPTS="$*"
for OPTS in $CMDOPTS;
do
key=$(echo ${OPTS} | awk -F"=" '{print $1}' )
value=$(echo ${OPTS} | awk -F"=" '{print $2}' )
case "$key" in
--ssl-domain) SSL_DOMAIN=$value ;;
--ssl-trusted-ip) SSL_TRUSTED_IP=$value ;;
--ssl-trusted-domain) SSL_TRUSTED_DOMAIN=$value ;;
--ssl-size) SSL_SIZE=$value ;;
--ssl-date) SSL_DATE=$value ;;
--ca-date) CA_DATE=$value ;;
--ssl-cn) CN=$value ;;
--k3s-server-ca-key) CA_KEY=$value ;;
--k3s-server-ca) CA_CERT=$value ;;
esac
done

# CA相关配置
CA_DATE=${CA_DATE:-3650}
CA_DOMAIN=${CA_DOMAIN:-'k3s'}
CA_KEY=${CA_KEY:-'/var/lib/rancher/k3s/server/tls/server-ca.key'}
CA_CERT=${CA_CERT:-'/var/lib/rancher/k3s/server/tls/server-ca.crt'}

# ssl相关配置
SSL_CONFIG=${SSL_CONFIG:-$PWD/openssl.cnf}
SSL_DOMAIN=${SSL_DOMAIN:-'www.rancher.local'}
SSL_DATE=${SSL_DATE:-3650}
SSL_SIZE=${SSL_SIZE:-2048}

## 国家代码(2个字母的代号),默认CN;
CN=${CN:-CN}

SSL_KEY=$SSL_DOMAIN.key
SSL_CSR=$SSL_DOMAIN.csr
SSL_CERT=$SSL_DOMAIN.crt

echo -e "\033[32m ---------------------------- \033[0m"
echo -e "\033[32m | 生成 K3S 证书 | \033[0m"
echo -e "\033[32m ---------------------------- \033[0m"


echo -e "\033[32m ====> 1. 生成Openssl配置文件 ${SSL_CONFIG} \033[0m"
cat > ${SSL_CONFIG} <<-EOF
[req]
req_extensions = v3_req
distinguished_name = req_distinguished_name
[req_distinguished_name]
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = clientAuth, serverAuth
EOF

if [[ -n ${SSL_TRUSTED_IP} || -n ${SSL_TRUSTED_DOMAIN} ]]; then
cat >> ${SSL_CONFIG} <<-EOF
subjectAltName = @alt_names
[alt_names]
EOF
IFS=","
dns=(${SSL_TRUSTED_DOMAIN})
dns+=(${SSL_DOMAIN})
for i in "${!dns[@]}"; do
echo DNS.$((i+1)) = ${dns[$i]} >> ${SSL_CONFIG}
done

if [[ -n ${SSL_TRUSTED_IP} ]]; then
ip=(${SSL_TRUSTED_IP})
for i in "${!ip[@]}"; do
echo IP.$((i+1)) = ${ip[$i]} >> ${SSL_CONFIG}
done
fi
fi

echo -e "\033[32m ====> 2. 生成SSL KEY ${SSL_KEY} \033[0m"
openssl genrsa -out ${SSL_KEY} ${SSL_SIZE}

echo -e "\033[32m ====> 3. 生成SSL CSR ${SSL_CSR} \033[0m"
openssl req -sha256 -new -key ${SSL_KEY} -out ${SSL_CSR} -subj "/C=${CN}/CN=${SSL_DOMAIN}" -config ${SSL_CONFIG}

echo -e "\033[32m ====> 4. 生成服务SSL CERT ${SSL_CERT} \033[0m"
openssl x509 -sha256 -req -in ${SSL_CSR} -CA ${CA_CERT} -CAkey ${CA_KEY} -CAcreateserial -out ${SSL_CERT} -days ${SSL_DATE} -extensions v3_req -extfile ${SSL_CONFIG}

 


__EOF__

本文作者东峰叵.com
本文链接https://www.cnblogs.com/databank/p/16334715.html
关于博主:评论和私信会在第一时间回复。或者直接私信我。
版权声明:本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!
声援博主:如果您觉得文章对您有帮助,可以点击文章右下角推荐一下。您的鼓励是博主的最大动力!
posted @   东峰叵,com  阅读(1812)  评论(0编辑  收藏  举报
相关博文:
阅读排行:
· DeepSeek “源神”启动!「GitHub 热点速览」
· 微软正式发布.NET 10 Preview 1:开启下一代开发框架新篇章
· C# 集成 DeepSeek 模型实现 AI 私有化(本地部署与 API 调用教程)
· DeepSeek R1 简明指南:架构、训练、本地部署及硬件要求
· 2 本地部署DeepSeek模型构建本地知识库+联网搜索详细步骤
点击右上角即可分享
微信分享提示