使用OpenSSL生成Kubernetes证书的介绍

kubernetes支持Base认证/Token认证/CA认证三种,这篇文章用于记录一下CA认证所需要的最简单程度的命令。

创新互联公司是一家专业提供乐山企业网站建设,专注与网站设计制作、网站设计HTML5、小程序制作等业务。10年已为乐山众多企业、政府机构等服务。创新互联专业网站设计公司优惠进行中。

kubernetes构成

使用OpenSSL生成Kubernetes证书的介绍

测试版本为1.10,但不限于此版本,为openssl证书较为通用的方式。

所需证书

所需要的证书相关文件的说明如下:

使用OpenSSL生成Kubernetes证书的介绍

CA证书

CA证书私钥

使用OpenSSL生成Kubernetes证书的介绍

命令:openssl genrsa -out ca.key 2048

[root@host121 k8scert]# openssl genrsa -out ca.key 2048
Generating RSA private key, 2048 bit long modulus
........................................................+++
..................+++
e is 65537 (0x10001)
[root@host121 k8scert]#

CA证书

使用OpenSSL生成Kubernetes证书的介绍

命令:openssl genrsa -out ca.key 2048

[root@host121 k8scert]# openssl req -x509 -new -nodes -key ca.key -subj "/CN=host121" -days 5000 -out ca.crt
[root@host121 k8scert]# ls
archive ca.crt ca.key
[root@host121 k8scert]#

XXX用证书

apiserver/ControllerManager/kublet等所需证书可用如下方式创建

证书私钥

使用OpenSSL生成Kubernetes证书的介绍

命令:openssl genrsa -out server.key 2048

[root@host121 k8scert]# openssl genrsa -out server.key 2048
Generating RSA private key, 2048 bit long modulus
..............................+++
........................................................................+++
e is 65537 (0x10001)
[root@host121 k8scert]#

证书签名请求文件

使用OpenSSL生成Kubernetes证书的介绍

命令:openssl req -new -key server.key -subj “/CN=host121” -out server.csr

[root@host121 k8scert]# openssl req -new -key server.key -subj "/CN=host121" -out server.csr
[root@host121 k8scert]#

subj中设定的subject的信息为用户自己的数据,一般将CN设定为域名/机器名/或者IP名称,比如kubelet为所在node的IP即可

证书

使用OpenSSL生成Kubernetes证书的介绍

命令:openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 5000

[root@host121 k8scert]# openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 5000
Signature ok
subject=/CN=host121
Getting CA Private Key
[root@host121 k8scert]#

总结

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,谢谢大家对创新互联的支持。如果你想了解更多相关内容请查看下面相关链接


网站标题:使用OpenSSL生成Kubernetes证书的介绍
转载注明:http://pwwzsj.com/article/gjcdhh.html