美文网首页Kubernetes
Kubernetes证书相关(CFSSL)

Kubernetes证书相关(CFSSL)

作者: Aubin | 来源:发表于2018-11-14 11:38 被阅读257次

    CFSSL是CloudFlare开源的一款PKI/TLS工具。 CFSSL 包含一个命令行工具 和一个用于 签名,验证并且捆绑TLS证书的 HTTP API 服务。 使用Go语言编写。

    Github 地址: https://github.com/cloudflare/cfssl
    官网地址: https://pkg.cfssl.org/
    参考地址:liuzhengwei521

    curl -s -L -o /bin/cfssl https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
    curl -s -L -o /bin/cfssljson https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
    curl -s -L -o /bin/cfssl-certinfo https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
    chmod +x /bin/cfssl*
    

    集群相关证书类型

    client certificate: 用于服务端认证客户端,例如etcdctl、etcd proxy、fleetctl、docker客户端
    server certificate: 服务端使用,客户端以此验证服务端身份,例如docker服务端、kube-apiserver
    peer certificate: 双向证书,用于etcd集群成员间通信

    根据认证对象可以将证书分成三类:服务器证书server cert,客户端证书client cert,对等证书peer cert(表示既是server cert又是client cert),在kubernetes 集群中需要的证书种类如下:

    • etcd 节点需要标识自己服务的server cert,也需要client cert与etcd集群其他节点交互,当然可以分别指定2个证书,也可以使用一个对等证书
    • master 节点需要标识 apiserver服务的server cert,也需要client cert连接etcd集群,这里也使用一个对等证书
    • kubectl calico kube-proxy 只需要client cert,因此证书请求中 hosts 字段可以为空
    • kubelet证书比较特殊,不是手动生成,它由node节点TLS BootStrapapiserver请求,由master节点的controller-manager 自动签发,包含一个client cert 和一个server cert

    创建CA配置文件

    配置证书生成策略,规定CA可以颁发那种类型的证书

    vim /opt/ssl/k8sca/ca-config.json
    {
      "signing": {
        "default": {
          "expiry": "87600h"
        },
        "profiles": {
          "kubernetes": {
            "usages": [
                "signing",
                "key encipherment",
                "server auth",
                "client auth"
            ],
            "expiry": "87600h"
          }
        }
      }
    }
    

    创建CA证书签名请求

    vim /opt/ssl/k8sca/ ca-csr.json
    
    {
    "CN": "kubernetes",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "BeiJing",
            "O": "Ctyun",
            "ST": "BeiJing",            
            "OU": "ops"
        }    ]
    }
    

    生成CA和私钥

    生成CA所必需的文件ca-key.pem(私钥)和ca.pem(证书),还会生成ca.csr(证书签名请求),用于交叉签名或重新签名。

    $ cd /opt/ssl/k8sca/
    $ cfssl gencert -initca ca-csr.json | cfssljson -bare ca
    $ ls
    ca-config.json  ca.csr  ca-csr.json  ca-key.pem  ca.pem
    

    相关文章

      网友评论

        本文标题:Kubernetes证书相关(CFSSL)

        本文链接:https://www.haomeiwen.com/subject/hiddfqtx.html