创建 CA 证书和秘钥
kubernetes 系统各组件需要使用 TLS 证书对通信进行加密,本文档使用 CloudFlare 的 PKI 工具集 cfssl 来生成 Certificate Authority (CA) 证书和秘钥文件,CA 是自签名的证书,用来签名后续创建的其它 TLS 证书。
安装 CFSSL
#在根目录下创建cfssldir文件夹用于存放所有证书文件
$ mkdir -p /root/cfssldir
$ cd /root/cfssldir
$ wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
$ chmod +x cfssl_linux-amd64
$ sudo mv cfssl_linux-amd64 /root/cfssldir
$ wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
$ chmod +x cfssljson_linux-amd64
$ sudo mv cfssljson_linux-amd64 /root/cfssldir
$ wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
$ chmod +x cfssl-certinfo_linux-amd64
$ sudo mv cfssl-certinfo_linux-amd64 /root/cfssldir
$ export PATH=/root/cfssldir:$PATH
$ cfssl print-defaults config > config.json
$ cfssl print-defaults csr > csr.json
内网环境下若出现wget无法获取到资源的情况,需自行下载如上三个文件cfssl_linux-amd64、cfssljson_linux-amd64、cfssl-certinfo_linux-amd64。
创建 CA (Certificate Authority)
$ cat ca-config.json
{
"signing": {
"default": {
"expiry": "8760h"
},
"profiles": {
"kubernetes": {
"usages": [
"signing",
"key encipherment",
"server auth",
"client auth"
],
"expiry": "8760h"
}
}
}
}
-
ca-config.json:可以定义多个 profiles,分别指定不同的过期时间、使用场景等参数;后续在签名证书时使用某个 profile; -
signing:表示该证书可用于签名其它证书;生成的 ca.pem 证书中CA=TRUE; -
server auth:表示 client 可以用该 CA 对 server 提供的证书进行验证; -
client auth:表示 server 可以用该 CA 对 client 提供的证书进行验证;
创建 CA 证书签名请求:
自行创建符合如下格式的ca-csr.json文件
$ cat ca-csr.json
{
"CN": "kubernetes",
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"ST": "BeiJing",
"L": "BeiJing",
"O": "k8s",
"OU": "System"
}
]
}
- "CN":
Common Name,kube-apiserver 从证书中提取该字段作为请求的用户名 (User Name);浏览器使用该字段验证网站是否合法; - "O":
Organization,kube-apiserver 从证书中提取该字段作为请求用户所属的组 (Group);
生成 CA 证书和私钥:
$ cfssl gencert -initca ca-csr.json | cfssljson -bare ca
$ ls ca*
ca-config.json ca.csr ca-csr.json ca-key.pem ca.pem
证书校验
可使用如下两个命令查询生成证书的相关信息 ,对比一致则验证通过:
openssl x509 -noout -text -in ca.pem
#自行校验证书字段时候与上述一致
cfssl-certinfo -cert ca.pem