K8S集群证书

K8S集群证书都放在/etc/kubernetes/pki/里，默认1年有效期；在自动更新K8S版本时会自动更新有效期，也可以手动更改。
修改K8S集群证书时间，需要配置GO语言环境。

cd /etc/kubernetes/pki/;ll  #查看K8S所有的证书文件；
openssl x509 -in apiserver.crt -text -noout #以文本形式输出证书信息，如：证书时间；

 

##配置go语言环境
wget https://dl.google.com/go/go1.12.9.linux-amd64.tar.gz  #进入go语言中文社区下载go1.12.9.linux-amd64.tar.gz
tar -xzvf go1.12.9.linux-amd64.tar.gz -C /usr/local/
echo "export PATH=$PATH:/usr/local/go/bin">>/etc/profile
source /etc/profile
go version

 

 

 

kubectl version  #查看K8S版本并下载其源码；
cd;git clone https://github.com/kubernetes/kubernetes.git   #下载最新版本K8S源码；
cd kubernetes/;git checkout -b remote/origin/release-1.15.1 v1.15.1        #切换版本至指定版本1.15.1;

cat cmd/kubeadm/app/util/pkiutil/pki_helpers.go
cp cmd/kubeadm/app/util/pkiutil/pki_helpers.go{,.bak}

vim cmd/kubeadm/app/util/pkiutil/pki_helpers.go
~~~~修改certTmpl~~~~~~~
const duration3650d = time.Hour * 24 * 365 * 10     #定义常量10年；
...
NotAfter:     time.Now().Add(duration3650d).UTC(),   #添加证书过期时间为10年；
~~~~修改certTmpl~~~~~~~

make WHAT=cmd/kubeadm GOFLAGS=-v  #重新编译kubeadm

##更新kubeadm
cp _output/bin/kubeadm /root/kubeadm-new
cp /usr/bin/kubeadm /usr/bin/kubeadm.bak
cp -f /root/kubeadm-new /usr/bin/kubeadm
chmod a+x /usr/bin/kubeadm

##更新各节点证书指master节点
cd /etc/kubernetes/pki
kubeadm alpha certs renew all --config=/root/install-k8s/core/kubeadm-config.yaml
openssl x509 -in apiserver.crt -text -noout |grep Not