【容器化】Kubernetes二进制高可用部署2-Ca根证书

零、目录

• 【容器化】Kubernetes二进制高可用部署1-准备
• 【容器化】Kubernetes二进制高可用部署2-ca根证书
• 【容器化】kubernetes二进制高可用部署3-etcd高可用部署
• 【容器化】kubernetes二进制高可用部署4-kube-apiserver高可用部署
• 【容器化】kubernetes二进制高可用部署5-HA和Keepalived部署
• 【容器化】kubernetes二进制高可用部署6-kube-controller和kube-scheduler部署
• 【容器化】kubernetes二进制高可用部署7-kubelet和kube-proxy部署
• 【容器化】kubernetes二进制高可用部署8-Calico网络插件部署
• 【容器化】kubernetes二进制高可用部署9-Flannel网络插件部署
• 【容器化】kubernetes二进制高可用部署10-coredns部署

一、证书

x509

X.509是密码学里公钥证书的格式标准。X.509证书已应用在包括TLS/SSL在内的众多网络协议里，同时它也用在很多非在线应用场景里，比如电子签名服务。X.509证书里含有公钥、身份信息（比如网络主机名，组织的名称或个体名称等）和签名信息（可以是证书签发机构CA的签名，也可以是自签名）。

说白了，就是一个常用的数字证书标准。一个标准的X.509数字证书包含以下内容：

• 证书
  • 版本号
  • 序列号
  • 签名算法
  • 证书有效期
    • 此日期前无效
    • 此日期后无效
  • 主题
  • 主题公钥信息
    • 公钥算法
    • 主题公钥
  • 颁发着唯一身份信息（可选项）
  • 主题唯一身份信息（可选项）
  • 扩展信息（可选项）
    • ……
• 证书签名算法
• 数字签名

证书格式

• .key：一般是base64编码的公钥或私钥文件
• .der .cer .crt：DER二进制编码格式的证书
• .pem .cer .crt：DER二进制编码格式进行base64编码的证书
• .p12：包含证书和私钥的文件

相关命令

# .key文件生成（pem）
openssl genrsa -out xxx.key 2048
# .key文件查看（pem）
openssl rsa -noout -text -in xxx.key
# .key从pem转到der（der）
openssl rsa -in xxx.key -outform der -out xxx-der.key
# .key文件查看（der）
openssl rsa -noout -text -inform der -in xxx-der.key


# .pem证书文件生成
openssl req -x509 -new -key xxx.key -out xxx.pem
# .pem证书文件查看
openssl x509 -noout -text -in xxx.pem


# .der证书文件生成
openssl req -x509 -new -outform der -key xxx.key -out xxx.der
# .der证书文件查看
openssl x509 -noout -text -inform der -in xxx.der

二、Kubernetes的CA证书

生成Kubernets需要用到的CA证书

# 192.168.56.105节点执行
mkdir -p /etc/kubernetes/pki
openssl genrsa -out /etc/kubernetes/pki/ca.key 2048
openssl req -x509 -new -key /etc/kubernetes/pki/ca.key -days 36500 -subj "/CN=192.168.56.105" -out /etc/kubernetes/pki/ca.crt

结果截图

复制ca.key和ca.crt到106、107虚拟机

# 192.168.56.106和192.168.56.107节点执行
mkdir -p /etc/kubernetes/pki
scp -r root@192.168.56.105:/etc/kubernetes/pki/ /etc/kubernetes

(•̀ᴗ•́)و ̑̑