相关内容:

Kubernetes部署(一):架构及功能说明
Kubernetes部署(二):系统环境初始化
Kubernetes部署(三):CA证书制作
Kubernetes部署(四):ETCD集群部署
Kubernetes部署(五):Haproxy、Keppalived部署
Kubernetes部署(六):Master节点部署
Kubernetes部署(七):Node节点部署
Kubernetes部署(八):Flannel网络部署
Kubernetes部署(九):CoreDNS、Dashboard、Ingress部署
Kubernetes部署(十):储存之glusterfs和heketi部署
Kubernetes部署(十一):管理之Helm和Rancher部署
Kubernetes部署(十二):helm部署harbor企业级镜像仓库

手动制作CA证书

1.安装 CFSSL

[root@node-01  ~]# cd /usr/local/src
[root@node-01  src]# wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
[root@node-01  src]# wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
[root@node-01  src]# wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
[root@node-01  src]# chmod +x cfssl*
[root@node-01  src]# mv cfssl-certinfo_linux-amd64 /data/kubernetes/bin/cfssl-certinfo
[root@node-01  src]# mv cfssljson_linux-amd64  /data/kubernetes/bin/cfssljson
[root@node-01  src]# mv cfssl_linux-amd64  /data/kubernetes/bin/cfssl
复制cfssl命令文件拷贝到所有节点
[root@node-01  ~]# scp /data/kubernetes/bin/cfssl* 10.31.90.201: /data/kubernetes/bin
[root@node-01  ~]# scp /data/kubernetes/bin/cfssl* 10.31.90.202: /data/kubernetes/bin
将/data/kubernetes/bin加入环境变量
[root@node-01 ~]# echo 'PATH=/data/kubernetes/bin:$PATH' >>/etc/profile
[root@node-01 ~]# source /etc/profile

2.初始化cfssl

生产初始配置文件,我们根据这些文件改

[root@node-01  src]# mkdir ssl && cd ssl
[root@node-01  ssl]# cfssl print-defaults config > config.json
[root@node-01  ssl]# cfssl print-defaults csr > csr.json

3.创建用来生成 CA 文件的 JSON 配置文件

server auth表示client可以用该ca对server提供的证书进行验证

client auth表示server可以用该ca对client提供的证书进行验证

[root@node-01 ssl]# vim ca-config.json
{"signing": {"default": {"expiry": "87600h"},"profiles": {"kubernetes": {"usages": ["signing","key encipherment","server auth","client auth"],"expiry": "87600h"}}}
}

4.创建用来生成 CA 证书签名请求(CSR)的 JSON 配置文件

[root@node-01 ssl]# vim ca-csr.json
{"CN": "kubernetes","key": {"algo": "rsa","size": 2048},"names": [{"C": "CN","ST": "BeiJing","L": "BeiJing","O": "k8s","OU": "System"}]
}

5.生成CA证书(ca.pem)和密钥(ca-key.pem)

[root@node-01 ssl]# cfssl gencert -initca ca-csr.json | cfssljson -bare ca
[root@node-01 ssl]# ls -l ca*
-rw-r--r-- 1 root root  292 Dec 24 16:11 ca-config.json
-rw-r--r-- 1 root root 1001 Dec 24 16:15 ca.csr
-rw-r--r-- 1 root root  208 Dec 24 16:14 ca-csr.json
-rw------- 1 root root 1679 Dec 24 16:15 ca-key.pem
-rw-r--r-- 1 root root 1359 Dec 24 16:15 ca.pem

6.分发证书

[root@node-01 ssl]# cp ca.csr ca.pem ca-key.pem ca-config.json /data/kubernetes/ssl
SCP证书到所有节点
[root@node-01 ssl]# for n in `seq 202 206`;do scp ca.csr ca.pem ca-key.pem ca-config.json root@10.31.90.$n:/data/kubernetes/ssl;done
ca.cs

后续会陆续更新所有的安装文档,如果你觉得我写的不错,希望大家多多关注点赞,非常感谢!

转载于:https://blog.51cto.com/billy98/2334704

Kubernetes部署(三):CA证书制作相关推荐

  1. Kubernetes集群部署之二CA证书制作

    创建TLS证书和秘钥 kubernetes 系统的各组件需要使用 TLS 证书对通信进行加密,本文档使用 CloudFlare 的 PKI 工具集 cfssl 来生成 Certificate Auth ...

  2. Linux运维容器篇 k8s单节点二进制部署(1) ECTD部署+CA证书制作

    文章目录 一.环境配置 二.制作CA证书 1.传入脚本 2.创建CA证书 3 指定节点通讯证书 三 部署etcd集群 1 安装etcd包并传入证书 配置etcd启动脚本并生成cfg文件 配置node节 ...

  3. Centos7部署kubernetes集群CA证书创建和分发(二)

    1.解压软件包 [root@linux-node1 ~]# cd /usr/local/src/ [root@linux-node1 src]# ls k8s-v1.10.1-manual.zip [ ...

  4. 加密通信(三):CA证书

    一 出现背景 加密通信(二):加密通信模型 所述的加密通信中还有两个问题: 如何确认公钥的安全性(确保你拿到的接收者的公钥是真正的接收者的.没有被篡改的).如果每次通信开始时接收者将公钥发送给发送者, ...

  5. 华为防火墙配置SSL+自签CA证书挑战登录

    HW USG部署SSL+CA证书登录 前言 了解证书 自签证书 服务器配置 客户端配置 客户端登录 前言 关于证书,涉及作者的知识盲区,本人仅根据自己的理解编写,仅供参考! 了解证书 公钥CA:理解为 ...

  6. 基于Kubernetes构建企业容器云【入门实战篇】- 手动制作CA证书(二)

    手动制作CA证书 操作主机:master ps:关于自签名证书,所有的证书都是在master节点上生成,然后copy到node节点的. 1.安装 CFSSL [root@linux-node1 ~]# ...

  7. 2.K8S部署-------- 制作CA证书

    这页内容,不特别声明.只在node1上做操作. 1.安装 CFSSL [root@linux-node1 ~]# cd /usr/local/src [root@linux-node1 src]# w ...

  8. centos+tomcate + https协议 SSL证书制作、部署支持iphone、ipa下载安装.ipa程序

    使用工具:openssl.keytool 一.制作SSL证书 a)根证书制作 1.创建制作根证书的私钥文件myCA.key openssl genrsa -out /usr/local/myCA.ke ...

  9. 记一次CA证书的申请、服务器上的部署过程

    1.简介 最近用docker在liberity服务器上部署了一个应用.由于安全方面的考虑,服务器管理员需要我们启用https连接.这就需要我们去给liberity配置ssl证书. 2.步骤 1.申请C ...

最新文章

  1. 【转】Linux Oracle服务启动停止脚本与开机自启动
  2. python编程入门指南 明日科技-python从入门到项目实践明日科技三剑客书籍视频...
  3. 重写navigationController的push方法后,出现卡顿现象
  4. ImageSharp一个专注于NetCore平台图像处理的开源项目
  5. idae 安装的插件怎么删掉_X7 IE阻止我安装插件怎么办
  6. Python3 基础学习笔记 C09【文件和异常】
  7. hive mysql性能_Hive数据库安全审计功能
  8. 【HBase从入门到精通系列】误删数据如何抢救?
  9. 【BZOJ】【1086】 【SCOI2005】王室联邦
  10. InfluxDB简介,InfluxDB的基本操作
  11. openresty的html文件夹在,Openresty 配置访问静态文件,拆分路径
  12. JavaIO基础学习笔记
  13. 百度AI人脸识别与检测十:学生人脸识别打卡签到系统之如何查看学生签到信息?
  14. CheckboxPreference 改造
  15. 两电脑间传输文件|免费PC到PC文件传输软件
  16. C语言获取当前的工作路径
  17. 超级计算机 计算化学,计算化学软件使用经验-超算中心.PDF
  18. 告别陈彤,或是告别一个总编辑的时代
  19. 我去补了个牙,然后发现,未知的恐惧让人很绝望
  20. POJ 3088 Push Botton Lock

热门文章

  1. 医疗术语自动编码论文总结 (Automated Coding)
  2. Java枚举意义在哪_java – 多个if-else或枚举 – 哪一个更好,为什么?
  3. oc引导win方法_[OC更新]机械革命10代标压稳定版更新
  4. ubuntu18.04.4 中 下载 github 代码 并创建 python 虚拟环境virtualenv
  5. python爬虫:get_text()等方法获取标签数据
  6. c++ 类文件的动态库生成及调用例子
  7. 报错解决:cannot import name 'conditional' from 'hyperas.distributions'
  8. ios 圆形旋转菜单_iOS实现滑动弧形菜单的思路与方法
  9. python增加一列数据计算年龄_无法使用python中的条件计算年龄。得到一个价值
  10. 中南大学计算机复试题,中南大学计算机05年复试试题