openssl 生成 Kubernetes 证书

时间：2021-08-30 06:21:45 阅读：13 评论：0 收藏：0 [点我收藏+]

Kubernetes :

ca.crt ca.key

openssl genrsa -out ca.key 2048
openssl req -x509 -new -nodes -key ca.key -out ca.crt -subj ‘/CN=kubernetes‘

kubeadm generate:
技术分享图片

apiserver.crt apiserver.key

openssl genrsa -out apiserver.key 2048
openssl req -new -nodes -key apiserver.key -out apiserver.csr -config apiserver.conf
openssl x509 -req -in apiserver.csr -out apiserver.crt -CA ca.crt -CAkey ca.key -CAcreateserial -extfile apiserver.conf -extensions v3_ext -days 44444

kubeadm generate

技术分享图片

apiserver.conf

[ req ]
default_bits = 2048
prompt = no
default_md = sha256
req_extensions = req_ext
distinguished_name = dn

[ dn ]
CN = kube-apiserver

[ req_ext ]
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = kubernetes
DNS.2 = kubernetes.default
DNS.3 = kubernetes.default.svc
DNS.4 = kubernetes.default.svc.cluster
DNS.5 = kubernetes.default.svc.cluster.local
DNS.6 = ram1
IP.1 = 10.96.0.1
IP.2 = 192.168.8.11
IP.3 = 192.168.8.200

[ v3_ext ]
keyUsage=critical, digitalSignature, keyEncipherment
extendedKeyUsage=serverAuth
basicConstraints=critical, CA:FALSE
authorityKeyIdentifier=keyid
subjectAltName=@alt_names

View Code

apiserver-kubelet-client.crt apiserver-kubelet-client.key

openssl genrsa -out apiserver-kubelet-client.key 2048
openssl req -new -nodes -key apiserver-kubelet-client.key -out apiserver-kubelet-client.csr -config apiserver-kubelet-client.conf
openssl x509 -req -in apiserver-kubelet-client.csr -out apiserver-kubelet-client.crt -CA ca.crt -CAkey ca.key -CAcreateserial -extfile apiserver-kubelet-client.conf -extensions v3_ext -days 4444

技术分享图片

apiserver-kubelet-client.conf

[ req ]
default_bits = 2048
prompt = no
default_md = sha256
distinguished_name = dn

[ dn ]
O = system:masters
CN = kube-apiserver-kubelet-client

[ v3_ext ]
keyUsage=critical, digitalSignature, keyEncipherment
extendedKeyUsage=clientAuth
basicConstraints=critical, CA:FALSE
authorityKeyIdentifier=keyid

View Code

kubectl 等客户端证书

查看kubeadm部署集群生成的证书

cat /etc/kubernetes/admin.conf | grep client-certificate-data | awk ‘{print $2}‘ | base64 --decode > kubectl.crt

技术分享图片

openssl genrsa -out kubectl.key 2048
openssl req -new -nodes -key kubectl.key -out kubectl.csr -config kubectl.conf
openssl x509 -req -in kubectl.csr -out kubectl.crt -CA ca.crt -CAkey ca.key -CAcreateserial -extfile kubectl.conf -extensions v3_ext -days 4444

kubectl.conf

[ req ]
default_bits = 2048
prompt = no
default_md = sha256
distinguished_name = dn

[ dn ]
O = system:masters
CN = kubernetes-admin

[ v3_ext ]
keyUsage=critical, digitalSignature, keyEncipherment
extendedKeyUsage=clientAuth
basicConstraints=critical, CA:FALSE
authorityKeyIdentifier=keyid

View Code

apiserver-etcd-client.crt apiserver-etcd-client.key CA 为 etcd.ca

etcd:

ca.crt ca.key

openssl 生成 Kubernetes 证书

原文：https://www.cnblogs.com/dissipate/p/15194842.html

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年09月23日 (328)
2021年09月24日 (313)
2021年09月17日 (191)
2021年09月15日 (369)
2021年09月16日 (411)
2021年09月13日 (439)
2021年09月11日 (398)
2021年09月12日 (393)
2021年09月10日 (160)
2021年09月08日 (222)