k3s证书过期的处理 以及 修改k3s证书有效期为10年(或自定义时间)
1、常规操作
由于k3s证书的默认过期时间是12个月,因此到期之前或不小心到期,需要轮换
其实官网有明确的说明以及处理办法——但是你会发现按照官方处理办法,基本上无法生效
这里给一个一定可行的办法
# 在其中一个节点上执行
k3s kubectl --insecure-skip-tls-verify=true delete secret k3s-serving -n kube-system# 在每个节点上执行
rm -rf /var/lib/rancher/k3s/server/tls/dynamic-cert.json
systemctl restart k3s
以上的关键点就是 --insecure-skip-tls-verify=true
重点来了
2、黑科技:改证书时间为10年(或自定义时间)
上面的办法虽好,但是生产环境我们肯定不愿意每年都去搞一次,如何做?
我们知道,每一个证书,是有根证书签发的,k3s服务证书,有自己的根证书
因此,我们只需要
1、找到k3s的根证书
2、设置正确的信任域和IP,设置你想要的时间,然后用来签发一个新的证书
3、替换现有的k3s证书
就可以达到效果
说了一堆废话,这里给出最终办法(由于大家都会用rancher,我这里就以操作rancher来说明了,没有rancher,通过kubectl命令也可以完成操作,具体我就不写了,自行思考)
详细步骤:
- 进入rancher,找到
集群->system->证书列表->k3s-serving
- 点开
k3s-serving
,拷贝域名
中的所有内容做准备- 使用本文最后的shell脚本,拷贝到服务器上执行该脚本。其中参数要注意
–ssl-domain,需要指定为’k3s’。脚本默认值已经设定好了
–ssl-trusted-domain,【【【需要指定为第二步拷贝的内容中,除了k3s的所有域名】】】
–ssl-trusted-ip,【【【需要指定为第二步拷贝的内容中的所有ip】】】样例参考为:./mktls.sh --ssl-domain=k3s --ssl-trusted-domain=kubernetes,kubernetes.default,kubernetes.default.svc,kubernetes.default.svc.cluster.local,localhost --ssl-trusted-ip=10.43.0.1,127.0.0.1,172.16.148.200,172.16.148.201,172.16.148.203,172.16.148.204 --ssl-size=2048 --ssl-date=3650 --k3s-server-ca-key=./CA.key --k3s-server-ca=./CA.crt
样例中我专门指定了–k3s-server-ca-key和–k3s-server-ca(其默认值在脚本中有描述),其实想说的是,我们把k3s的根证书和key内容拷贝出来到任何地方都可以执行- 在rancher中编辑
k3s-serving
,用第三步生成的key和crt内容,更新对应的内容即可
至此,就完成了证书更新,妈妈再也不用担心k3s过期了
附上详细步骤中所述的脚本
拷贝到机器上,chmod +x 之后执行即可
#!/bin/bash -e# 用于制作k3s的服务证书。默认情况下,k3s证书一年内过期
# 通过官方说法,可以通过删除 `k3s-serving`这个密文
# 以及删除主机的/var/lib/rancher/k3s/server/tls/dynamic-cert.json文件
# 之后,重启k3s服务可以达到轮换证书的目标
# 但是这样太麻烦,这里提供的就是根据k3s的根证书制作一个新的证书,时间可自定义
# 然后把这个证书的key和crt在rancher界面上更换`k3s-serving`这个密文内容即可help ()
{echo ' ================================================================ 'echo ' --ssl-domain: 生成ssl证书需要的主域名,如不指定则默认为www.rancher.local,如果是ip访问服务,则可忽略;'echo ' --ssl-trusted-ip: 一般ssl证书只信任域名的访问请求,有时候需要使用ip去访问server,那么需要给ssl证书添加扩展IP,多个IP用逗号隔开;'echo ' --ssl-trusted-domain: 如果想多个域名访问,则添加扩展域名(SSL_TRUSTED_DOMAIN),多个扩展域名用逗号隔开;'echo ' --ssl-size: ssl加密位数,默认2048;'echo ' --ssl-cn: 国家代码(2个字母的代号),默认CN;'echo ' --ssl-date: 有效天数;'echo ' --k3s-server-ca-key: k3s根证书的key。默认在/var/lib/rancher/k3s/server/tls/server-ca.key'echo ' --k3s-server-ca: k3s根证书。默认在/var/lib/rancher/k3s/server/tls/server-ca.crt'echo ' 使用示例:'echo ' ./k3s-update-server-cert.sh --ssl-domain=www.test.com --ssl-trusted-domain=www.test2.com \ 'echo ' --ssl-trusted-ip=1.1.1.1,2.2.2.2,3.3.3.3 --ssl-size=2048 --ssl-date=3650 --k3s-server-ca-key=./CAK.key --k3s-server-ca=./CA.crt'echo ' ================================================================'
}case "$1" in-h|--help) help; exit;;
esacif [[ $1 == '' ]];thenhelp;exit;
fiCMDOPTS="$*"
for OPTS in $CMDOPTS;
dokey=$(echo ${OPTS} | awk -F"=" '{print $1}' )value=$(echo ${OPTS} | awk -F"=" '{print $2}' )case "$key" in--ssl-domain) SSL_DOMAIN=$value ;;--ssl-trusted-ip) SSL_TRUSTED_IP=$value ;;--ssl-trusted-domain) SSL_TRUSTED_DOMAIN=$value ;;--ssl-size) SSL_SIZE=$value ;;--ssl-date) SSL_DATE=$value ;;--ca-date) CA_DATE=$value ;;--ssl-cn) CN=$value ;;--k3s-server-ca-key) CA_KEY=$value ;;--k3s-server-ca) CA_CERT=$value ;;esac
done# CA相关配置
CA_DATE=${CA_DATE:-3650}
CA_DOMAIN=${CA_DOMAIN:-'k3s'}
CA_KEY=${CA_KEY:-'/var/lib/rancher/k3s/server/tls/server-ca.key'}
CA_CERT=${CA_CERT:-'/var/lib/rancher/k3s/server/tls/server-ca.crt'}# ssl相关配置
SSL_CONFIG=${SSL_CONFIG:-$PWD/openssl.cnf}
SSL_DOMAIN=${SSL_DOMAIN:-'www.rancher.local'}
SSL_DATE=${SSL_DATE:-3650}
SSL_SIZE=${SSL_SIZE:-2048}## 国家代码(2个字母的代号),默认CN;
CN=${CN:-CN}SSL_KEY=$SSL_DOMAIN.key
SSL_CSR=$SSL_DOMAIN.csr
SSL_CERT=$SSL_DOMAIN.crtecho -e "\033[32m ---------------------------- \033[0m"
echo -e "\033[32m | 生成 K3S 证书 | \033[0m"
echo -e "\033[32m ---------------------------- \033[0m"echo -e "\033[32m ====> 1. 生成Openssl配置文件 ${SSL_CONFIG} \033[0m"
cat > ${SSL_CONFIG} <<-EOF
[req]
req_extensions = v3_req
distinguished_name = req_distinguished_name
[req_distinguished_name]
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = clientAuth, serverAuth
EOFif [[ -n ${SSL_TRUSTED_IP} || -n ${SSL_TRUSTED_DOMAIN} ]]; thencat >> ${SSL_CONFIG} <<-EOF
subjectAltName = @alt_names
[alt_names]
EOFIFS=","dns=(${SSL_TRUSTED_DOMAIN})dns+=(${SSL_DOMAIN})for i in "${!dns[@]}"; doecho DNS.$((i+1)) = ${dns[$i]} >> ${SSL_CONFIG}doneif [[ -n ${SSL_TRUSTED_IP} ]]; thenip=(${SSL_TRUSTED_IP})for i in "${!ip[@]}"; doecho IP.$((i+1)) = ${ip[$i]} >> ${SSL_CONFIG}donefi
fiecho -e "\033[32m ====> 2. 生成SSL KEY ${SSL_KEY} \033[0m"
openssl genrsa -out ${SSL_KEY} ${SSL_SIZE}echo -e "\033[32m ====> 3. 生成SSL CSR ${SSL_CSR} \033[0m"
openssl req -sha256 -new -key ${SSL_KEY} -out ${SSL_CSR} -subj "/C=${CN}/CN=${SSL_DOMAIN}" -config ${SSL_CONFIG}echo -e "\033[32m ====> 4. 生成服务SSL CERT ${SSL_CERT} \033[0m"
openssl x509 -sha256 -req -in ${SSL_CSR} -CA ${CA_CERT} -CAkey ${CA_KEY} -CAcreateserial -out ${SSL_CERT} -days ${SSL_DATE} -extensions v3_req -extfile ${SSL_CONFIG}
k3s证书过期的处理 以及 修改k3s证书有效期为10年(或自定义时间)相关推荐
- emc存储java过期,干货来了!VNX证书过期解决方案,再也不怕VXN证书过期了!
干货来了!VNX证书过期解决方案,再也不怕VXN证书过期了! 2018-11-02 VNX证书过期了怎么办?北京纳恩恒泰为您准备了以下详细步骤: 1. Web访问VNX Unisphere管理,提示证 ...
- 证书服务器 过期,iis7服务器证书过期如何换新的以及证书服务器
随着计算机的普及,越来越多的人都在使用计算机来工作,随之而来的就是计算机中遇到的各种各样的问题,因为毕竟不是每个人都是学习计算机出身的,而且对计算机的了解也不是特别的透彻,比如说怎样请求证书?服务器证 ...
- ios企业版如果证书过期了_战舰少女r企业端证书过期解决办法 IOS安卓服证书过期怎么办...
第1页: 展开 战舰少女r企业端证书过期解决办法,IOS安卓服证书过期怎么办?这两天有玩家反应IOS的企业端和IOS端安卓服出现了证书过期的问题 首先,请前往以下的位置下载该工具:点我进入 同时在本楼 ...
- 解决Rancher2.5x版本突然无法使用(K3S证书过期大BUG)
解决Rancher2.5x版本突然无法使用(证书过期大BUG) 文章目录 解决Rancher2.5x版本突然无法使用(证书过期大BUG) 1.Rancher突然无法使用的前因后果 2.冷静分析即刻处理 ...
- rancher2.x证书过期
目录 rancher2证书过期 检测rancher是否正常运行 查看证书是否过期 证书过期处理 Rancher无法连接到rancher-agent rancher证书过期 rancher页面无法打开 ...
- k8s 证书过期解决
K8S CA证书是10年,但是组件证书的日期只有1年,为了证书一直可用状态需要更新,目前主流的一共有3种: 1.版本升级,只要升级就会让各个证书延期1年,官方设置1年有效期的目的就是希望用户在一年内能 ...
- k8s证书过期怎么办?
1.查看当前的使用期限 for item in `find /etc/kubernetes/pki -maxdepth 2 -name "*.crt"`;do openssl x5 ...
- Letsencrypt SSL 证书过期问题
Letsencrypt SSL 证书过期问题 最近 Letsencrypt 的根证书 "DST Root CA X3" 过期导致一些设备出现问题. 目前 Letencrypt 有两 ...
- K8S 证书过期解决办法
问题现象 K8S集群证书过期后,会导无法创建Pod,通过kubectl get nodes也无法获取信息,甚至dashboard也无法访问. 执行命令发现报错: Unable to connect t ...
最新文章
- 下载oracle修复补丁下载,Oracle数据库修复工具下载_FROMBYTE Reconstructor for Oracle官方版下载[修复软件]-下载之家...
- 使用python模拟Simple方式连接ldap
- 技术方案包括哪些内容_揭秘:网络营销推广方案的内容包括哪些?
- 数据中心智慧机房解决方案
- 另一种绕过 Android P以上非公开API限制的办法
- 赋能‘元宇宙’,这些企业强势破圈 | 2021AI 最佳成长榜
- WPF(Windows Presentation Foundation)Overview
- 用电脑更新手机ios系统_macOS 11正式版:大更新!苹果把iOS风格搬到了电脑上
- oracle只能在指定目录下访问,只安装PLSQL怎么访问远程数据库
- 用Python正则实现词频统计并验证Zipf-Law
- 温度对二极管伏安特性的影响
- Unable to validate using XSD: Your JAXP provider does not support XML Schema
- 个人计算机操作系统支持多用户多任务,windows10是一个多用户多任务操作系统吗...
- 家用电脑设置成小程序服务器,电脑微信小程序设置全屏的方法是什么
- 如何理解GPU中的SIMT(单指令流多线程模型)
- Android手电筒介绍
- QQ 浏览器(iOS版)崩溃信息研究
- 安装 catboost 的正确方式
- 显卡测试软件3d mark,AllBenchmark(3D显卡测试工具)1.3 免费版
- 神州数码牵手 OceanBase,共迎国产分布式数据库春天
热门文章
- Android解析服务器Json数据实例
- DolphinDB智臾科技CEO周小华:《从反向控制的终极目标谈时序数据库的架构设计》
- 系统时间不够精确?试试RTC(实时时钟)
- vue+element模仿电商商城,前后端分离实现,下单微信扫码支付
- 【学习笔记】狄利克雷卷积
- Android targetSdkVersion从23升级到26适配指南
- error: failed to push some refs to ‘xx.git‘ hint: Updates were rejected because the tip of your curr
- HTML5期末大作业:汉堡美食网站设计——餐饮美食-汉堡美食(6页) HTML+CSS+JavaScript 汉堡美食 咖啡主题HTM5网页设计作业成品
- 目标检测中的anchor-base与anchor-free
- android水果购物车,实现购物车功能