部署k8s ssl集群实践2:cfssl配置根证书和秘钥

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了部署k8s ssl集群实践2:cfssl配置根证书和秘钥相关的知识,希望对你有一定的参考价值。

参考文档:
https://github.com/opsnull/follow-me-install-kubernetes-cluster
感谢作者的无私分享。
集群环境已搭建成功跑起来。
文章是部署过程中遇到的错误和详细操作步骤记录。如有需要对比参考,请按照顺序阅读和测试。

2.1
##安装CFSSL
使用CloudFlare 的 PKI 工具集 cfssl 来生成 Certificate Authority (CA) 证书和秘钥文件,
CA 是自签名的证书,用来签名后续创建的其它 TLS 证书

[[email protected] ~]# mkdir -p /opt/k8s/cert && chown -R k8s /opt/k8s/
[[email protected] ~]# cd /opt/k8s/
[[email protected] ~]wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
[[email protected] ~]wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
[[email protected] ~]wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
[[email protected] k8s]# ls
bin? cert? cfssl-certinfo_linux-amd64? cfssljson_linux-amd64? cfssl_linux-amd64
[[email protected] k8s]# cp cfssl* bin/
[[email protected] k8s]# cd bin
[[email protected] bin]# ls
cfssl-certinfo_linux-amd64? cfssljson_linux-amd64? cfssl_linux-amd64? environment.sh
[[email protected] bin]#
[[email protected] bin]# find -name "*_linux-amd64" |for i in *;do mv $i `echo $i |sed ‘s/\_linux-amd64//g‘`;done
[[email protected] bin]# ls
cfssl? cfssl-certinfo? cfssljson? environment.sh
[[email protected] ~]# export PATH=/opt/k8s/bin:$PATH ?

永久定义路径:

[[email protected] ~]# echo "export PATH=/opt/k8s/bin:$PATH" >>.bashrc
[[email protected] ~]# cat .bashrc
# .bashrc

# User specific aliases and functions

alias rm=‘rm -i‘
alias cp=‘cp -i‘
alias mv=‘mv -i‘

# Source global definitions
if [ -f /etc/bashrc ]; then
? ? ? ? . /etc/bashrc
fi
export PATH=/opt/k8s/bin:/opt/k8s/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/root/bin
[[email protected] ~]# source .bashrc
[[email protected] ~]#
[[email protected] ~]# chmod +x /opt/k8s/bin/*
[[email protected] ~]# cfssl version
Version: 1.2.0
Revision: dev
Runtime: go1.6

2.2
创建根证书
CA 证书是集群所有节点共享的,只需要创建一个 CA 证书,后续创建的所有证书都由它签名。

创建配置文件
CA 配置文件用于配置根证书的使用场景 (profile) 和具体参数 (usage,过期时间、服务端认证、客户端认证、加密等),后续在签名其它证书时需要指定特定场景。

[[email protected] cfssl]# cat ca-config.json
{
? "signing": {
? ? "default": {
? ? ? "expiry": "87600h"
? ? },
? ? "profiles": {
? ? ? "kubernetes": {
? ? ? ? "usages": [
? ? ? ? ? ? "signing",
? ? ? ? ? ? "key encipherment",
? ? ? ? ? ? "server auth",
? ? ? ? ? ? "client auth"
? ? ? ? ],
? ? ? ? "expiry": "87600h"
? ? ? }
? ? }
? }
}

signing:表示该证书可用于签名其它证书,生成的 ca.pem 证书中 CA=TRUE;
server auth:表示 client 可以用该该证书对 server 提供的证书进行验证;
client auth:表示 server 可以用该该证书对 client 提供的证书进行验证;

创建证书签名请求文件

[[email protected] cfssl]# cat ca-csr.json
{
? "CN": "kubernetes",
? "key": {
? ? "algo": "rsa",
? ? "size": 2048
? },
? "names": [
? ? {
? ? ? "C": "CN",
? ? ? "ST": "SZ",
? ? ? "L": "SZ",
? ? ? "O": "k8s",
? ? ? "OU": "4Paradigm"
? ? }
? ]
}
[[email protected] cfssl]#

生成 CA 证书和私钥

[[email protected] cfssl]# cfssl gencert -initca ca-csr.json | cfssljson -bare ca
2018/08/16 16:01:21 [INFO] generating a new CA key and certificate from CSR
2018/08/16 16:01:21 [INFO] generate received request
2018/08/16 16:01:21 [INFO] received CSR
2018/08/16 16:01:21 [INFO] generating key: rsa-2048
2018/08/16 16:01:21 [INFO] encoded CSR
2018/08/16 16:01:21 [INFO] signed certificate with serial number 205566785593103327654759750393009729905695377637
[[email protected] cfssl]# ls ca*
ca-config.json? ca.csr? ca-csr.json? ca-key.pem? ca.pem

##ca.pem 根证书?
##ca-key.pem 证书公钥

2.3
分发证书文件
将生成的 CA 证书、秘钥文件、配置文件拷贝到所有节点的 /etc/kubernetes/cert 目录下:

[[email protected] cfssl]# cp ca* /etc/kubernetes/cert/
[[email protected] cfssl]# scp ca* [email protected]:/etc/kubernetes/cert/
ca-config.json? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 100%? 292?? 225.0KB/s?? 00:00? ?
ca.csr? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 100%? 993? ?? 1.3MB/s?? 00:00? ?
ca-csr.json? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?? 100%? 201?? 288.7KB/s?? 00:00? ?
ca-key.pem? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 100% 1675? ?? 2.5MB/s?? 00:00? ?
ca.pem? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 100% 1338? ?? 2.0MB/s?? 00:00? ?
[[email protected] cfssl]# scp ca* [email protected]:/etc/kubernetes/cert/
ca-config.json? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 100%? 292?? 290.3KB/s?? 00:00? ?
ca.csr? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 100%? 993? ?? 1.2MB/s?? 00:00? ?
ca-csr.json? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?? 100%? 201?? 265.3KB/s?? 00:00? ?
ca-key.pem? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 100% 1675? ?? 2.1MB/s?? 00:00? ?
ca.pem? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 100% 1338? ?? 1.9MB/s?? 00:00? ?
[[email protected] cfssl]#

以上是关于部署k8s ssl集群实践2:cfssl配置根证书和秘钥的主要内容,如果未能解决你的问题,请参考以下文章

centos搭建k8s集群,创建自签证书

部署前期准备工作

etcd启用https服务

部署k8s ssl集群实践14:work节点部署kube-proxy

项目环境搭建Docker+k8s三 || 准备签发证书环境

部署k8s ssl集群实践11:work节点配置flanneld