1、常规操作

由于k3s证书的默认过期时间是12个月,因此到期之前或不小心到期,需要轮换

其实官网有明确的说明以及处理办法——但是你会发现按照官方处理办法,基本上无法生效

这里给一个一定可行的办法

# 在其中一个节点上执行
k3s kubectl --insecure-skip-tls-verify=true delete secret k3s-serving -n kube-system# 在每个节点上执行
rm -rf /var/lib/rancher/k3s/server/tls/dynamic-cert.json
systemctl restart k3s

以上的关键点就是 --insecure-skip-tls-verify=true

重点来了

2、黑科技:改证书时间为10年(或自定义时间)

上面的办法虽好,但是生产环境我们肯定不愿意每年都去搞一次,如何做?

我们知道,每一个证书,是有根证书签发的,k3s服务证书,有自己的根证书
因此,我们只需要
1、找到k3s的根证书
2、设置正确的信任域和IP,设置你想要的时间,然后用来签发一个新的证书
3、替换现有的k3s证书
就可以达到效果

说了一堆废话,这里给出最终办法(由于大家都会用rancher,我这里就以操作rancher来说明了,没有rancher,通过kubectl命令也可以完成操作,具体我就不写了,自行思考)

详细步骤:

  1. 进入rancher,找到集群->system->证书列表->k3s-serving
  2. 点开k3s-serving,拷贝域名中的所有内容做准备
  3. 使用本文最后的shell脚本,拷贝到服务器上执行该脚本。其中参数要注意
    –ssl-domain,需要指定为’k3s’。脚本默认值已经设定好了
    –ssl-trusted-domain,【【【需要指定为第二步拷贝的内容中,除了k3s的所有域名】】】
    –ssl-trusted-ip,【【【需要指定为第二步拷贝的内容中的所有ip】】】

    样例参考为:./mktls.sh --ssl-domain=k3s --ssl-trusted-domain=kubernetes,kubernetes.default,kubernetes.default.svc,kubernetes.default.svc.cluster.local,localhost --ssl-trusted-ip=10.43.0.1,127.0.0.1,172.16.148.200,172.16.148.201,172.16.148.203,172.16.148.204 --ssl-size=2048 --ssl-date=3650 --k3s-server-ca-key=./CA.key --k3s-server-ca=./CA.crt
    样例中我专门指定了–k3s-server-ca-key和–k3s-server-ca(其默认值在脚本中有描述),其实想说的是,我们把k3s的根证书和key内容拷贝出来到任何地方都可以执行

  4. 在rancher中编辑k3s-serving,用第三步生成的key和crt内容,更新对应的内容即可

至此,就完成了证书更新,妈妈再也不用担心k3s过期了

附上详细步骤中所述的脚本
拷贝到机器上,chmod +x 之后执行即可

#!/bin/bash -e# 用于制作k3s的服务证书。默认情况下,k3s证书一年内过期
# 通过官方说法,可以通过删除 `k3s-serving`这个密文
# 以及删除主机的/var/lib/rancher/k3s/server/tls/dynamic-cert.json文件
# 之后,重启k3s服务可以达到轮换证书的目标
# 但是这样太麻烦,这里提供的就是根据k3s的根证书制作一个新的证书,时间可自定义
# 然后把这个证书的key和crt在rancher界面上更换`k3s-serving`这个密文内容即可help ()
{echo  ' ================================================================ 'echo  ' --ssl-domain: 生成ssl证书需要的主域名,如不指定则默认为www.rancher.local,如果是ip访问服务,则可忽略;'echo  ' --ssl-trusted-ip: 一般ssl证书只信任域名的访问请求,有时候需要使用ip去访问server,那么需要给ssl证书添加扩展IP,多个IP用逗号隔开;'echo  ' --ssl-trusted-domain: 如果想多个域名访问,则添加扩展域名(SSL_TRUSTED_DOMAIN),多个扩展域名用逗号隔开;'echo  ' --ssl-size: ssl加密位数,默认2048;'echo  ' --ssl-cn: 国家代码(2个字母的代号),默认CN;'echo  ' --ssl-date: 有效天数;'echo  ' --k3s-server-ca-key: k3s根证书的key。默认在/var/lib/rancher/k3s/server/tls/server-ca.key'echo  ' --k3s-server-ca: k3s根证书。默认在/var/lib/rancher/k3s/server/tls/server-ca.crt'echo  ' 使用示例:'echo  ' ./k3s-update-server-cert.sh --ssl-domain=www.test.com --ssl-trusted-domain=www.test2.com \ 'echo  ' --ssl-trusted-ip=1.1.1.1,2.2.2.2,3.3.3.3 --ssl-size=2048 --ssl-date=3650 --k3s-server-ca-key=./CAK.key --k3s-server-ca=./CA.crt'echo  ' ================================================================'
}case "$1" in-h|--help) help; exit;;
esacif [[ $1 == '' ]];thenhelp;exit;
fiCMDOPTS="$*"
for OPTS in $CMDOPTS;
dokey=$(echo ${OPTS} | awk -F"=" '{print $1}' )value=$(echo ${OPTS} | awk -F"=" '{print $2}' )case "$key" in--ssl-domain) SSL_DOMAIN=$value ;;--ssl-trusted-ip) SSL_TRUSTED_IP=$value ;;--ssl-trusted-domain) SSL_TRUSTED_DOMAIN=$value ;;--ssl-size) SSL_SIZE=$value ;;--ssl-date) SSL_DATE=$value ;;--ca-date) CA_DATE=$value ;;--ssl-cn) CN=$value ;;--k3s-server-ca-key) CA_KEY=$value ;;--k3s-server-ca) CA_CERT=$value ;;esac
done# CA相关配置
CA_DATE=${CA_DATE:-3650}
CA_DOMAIN=${CA_DOMAIN:-'k3s'}
CA_KEY=${CA_KEY:-'/var/lib/rancher/k3s/server/tls/server-ca.key'}
CA_CERT=${CA_CERT:-'/var/lib/rancher/k3s/server/tls/server-ca.crt'}# ssl相关配置
SSL_CONFIG=${SSL_CONFIG:-$PWD/openssl.cnf}
SSL_DOMAIN=${SSL_DOMAIN:-'www.rancher.local'}
SSL_DATE=${SSL_DATE:-3650}
SSL_SIZE=${SSL_SIZE:-2048}## 国家代码(2个字母的代号),默认CN;
CN=${CN:-CN}SSL_KEY=$SSL_DOMAIN.key
SSL_CSR=$SSL_DOMAIN.csr
SSL_CERT=$SSL_DOMAIN.crtecho -e "\033[32m ---------------------------- \033[0m"
echo -e "\033[32m       | 生成 K3S 证书 |      \033[0m"
echo -e "\033[32m ---------------------------- \033[0m"echo -e "\033[32m ====> 1. 生成Openssl配置文件 ${SSL_CONFIG} \033[0m"
cat > ${SSL_CONFIG} <<-EOF
[req]
req_extensions = v3_req
distinguished_name = req_distinguished_name
[req_distinguished_name]
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = clientAuth, serverAuth
EOFif [[ -n ${SSL_TRUSTED_IP} || -n ${SSL_TRUSTED_DOMAIN} ]]; thencat >> ${SSL_CONFIG} <<-EOF
subjectAltName = @alt_names
[alt_names]
EOFIFS=","dns=(${SSL_TRUSTED_DOMAIN})dns+=(${SSL_DOMAIN})for i in "${!dns[@]}"; doecho DNS.$((i+1)) = ${dns[$i]} >> ${SSL_CONFIG}doneif [[ -n ${SSL_TRUSTED_IP} ]]; thenip=(${SSL_TRUSTED_IP})for i in "${!ip[@]}"; doecho IP.$((i+1)) = ${ip[$i]} >> ${SSL_CONFIG}donefi
fiecho -e "\033[32m ====> 2. 生成SSL KEY ${SSL_KEY} \033[0m"
openssl genrsa -out ${SSL_KEY} ${SSL_SIZE}echo -e "\033[32m ====> 3. 生成SSL CSR ${SSL_CSR} \033[0m"
openssl req -sha256 -new -key ${SSL_KEY} -out ${SSL_CSR} -subj "/C=${CN}/CN=${SSL_DOMAIN}" -config ${SSL_CONFIG}echo -e "\033[32m ====> 4. 生成服务SSL CERT ${SSL_CERT} \033[0m"
openssl x509 -sha256 -req -in ${SSL_CSR} -CA ${CA_CERT} -CAkey ${CA_KEY} -CAcreateserial -out ${SSL_CERT} -days ${SSL_DATE} -extensions v3_req -extfile ${SSL_CONFIG}

k3s证书过期的处理 以及 修改k3s证书有效期为10年(或自定义时间)相关推荐

  1. emc存储java过期,干货来了!VNX证书过期解决方案,再也不怕VXN证书过期了!

    干货来了!VNX证书过期解决方案,再也不怕VXN证书过期了! 2018-11-02 VNX证书过期了怎么办?北京纳恩恒泰为您准备了以下详细步骤: 1. Web访问VNX Unisphere管理,提示证 ...

  2. 证书服务器 过期,iis7服务器证书过期如何换新的以及证书服务器

    随着计算机的普及,越来越多的人都在使用计算机来工作,随之而来的就是计算机中遇到的各种各样的问题,因为毕竟不是每个人都是学习计算机出身的,而且对计算机的了解也不是特别的透彻,比如说怎样请求证书?服务器证 ...

  3. ios企业版如果证书过期了_战舰少女r企业端证书过期解决办法 IOS安卓服证书过期怎么办...

    第1页: 展开 战舰少女r企业端证书过期解决办法,IOS安卓服证书过期怎么办?这两天有玩家反应IOS的企业端和IOS端安卓服出现了证书过期的问题 首先,请前往以下的位置下载该工具:点我进入 同时在本楼 ...

  4. 解决Rancher2.5x版本突然无法使用(K3S证书过期大BUG)

    解决Rancher2.5x版本突然无法使用(证书过期大BUG) 文章目录 解决Rancher2.5x版本突然无法使用(证书过期大BUG) 1.Rancher突然无法使用的前因后果 2.冷静分析即刻处理 ...

  5. rancher2.x证书过期

    目录 rancher2证书过期 检测rancher是否正常运行 查看证书是否过期 证书过期处理 Rancher无法连接到rancher-agent rancher证书过期 rancher页面无法打开 ...

  6. k8s 证书过期解决

    K8S CA证书是10年,但是组件证书的日期只有1年,为了证书一直可用状态需要更新,目前主流的一共有3种: 1.版本升级,只要升级就会让各个证书延期1年,官方设置1年有效期的目的就是希望用户在一年内能 ...

  7. k8s证书过期怎么办?

    1.查看当前的使用期限 for item in `find /etc/kubernetes/pki -maxdepth 2 -name "*.crt"`;do openssl x5 ...

  8. Letsencrypt SSL 证书过期问题

    Letsencrypt SSL 证书过期问题 最近 Letsencrypt 的根证书 "DST Root CA X3" 过期导致一些设备出现问题. 目前 Letencrypt 有两 ...

  9. K8S 证书过期解决办法

    问题现象 K8S集群证书过期后,会导无法创建Pod,通过kubectl get nodes也无法获取信息,甚至dashboard也无法访问. 执行命令发现报错: Unable to connect t ...

最新文章

  1. 下载oracle修复补丁下载,Oracle数据库修复工具下载_FROMBYTE Reconstructor for Oracle官方版下载[修复软件]-下载之家...
  2. 使用python模拟Simple方式连接ldap
  3. 技术方案包括哪些内容_揭秘:网络营销推广方案的内容包括哪些?
  4. 数据中心智慧机房解决方案
  5. 另一种绕过 Android P以上非公开API限制的办法
  6. 赋能‘元宇宙’,这些企业强势破圈 | 2021AI 最佳成长榜
  7. WPF(Windows Presentation Foundation)Overview
  8. 用电脑更新手机ios系统_macOS 11正式版:大更新!苹果把iOS风格搬到了电脑上
  9. oracle只能在指定目录下访问,只安装PLSQL怎么访问远程数据库
  10. 用Python正则实现词频统计并验证Zipf-Law
  11. 温度对二极管伏安特性的影响
  12. Unable to validate using XSD: Your JAXP provider does not support XML Schema
  13. 个人计算机操作系统支持多用户多任务,windows10是一个多用户多任务操作系统吗...
  14. 家用电脑设置成小程序服务器,电脑微信小程序设置全屏的方法是什么
  15. 如何理解GPU中的SIMT(单指令流多线程模型)
  16. Android手电筒介绍
  17. QQ 浏览器(iOS版)崩溃信息研究
  18. 安装 catboost 的正确方式
  19. 显卡测试软件3d mark,AllBenchmark(3D显卡测试工具)1.3 免费版
  20. 神州数码牵手 OceanBase,共迎国产分布式数据库春天

热门文章

  1. Android解析服务器Json数据实例
  2. DolphinDB智臾科技CEO周小华:《从反向控制的终极目标谈时序数据库的架构设计》
  3. 系统时间不够精确?试试RTC(实时时钟)
  4. vue+element模仿电商商城,前后端分离实现,下单微信扫码支付
  5. 【学习笔记】狄利克雷卷积
  6. Android targetSdkVersion从23升级到26适配指南
  7. error: failed to push some refs to ‘xx.git‘ hint: Updates were rejected because the tip of your curr
  8. HTML5期末大作业:汉堡美食网站设计——餐饮美食-汉堡美食(6页) HTML+CSS+JavaScript 汉堡美食 咖啡主题HTM5网页设计作业成品
  9. 目标检测中的anchor-base与anchor-free
  10. android水果购物车,实现购物车功能