【容器化】Kubernetes二进制高可用部署2-Ca根证书

2022-01-15

2022-01-16

Kubernetes, ca证书, cer, crt, der, openssl, pem, x509, 二进制, 部署, 高可用

Views: 1000000

Words: 800 Read time: 3 mins.

零、目录

一、证书

x509

X.509是密码学里公钥证书的格式标准。X.509证书已应用在包括TLS/SSL在内的众多网络协议里，同时它也用在很多非在线应用场景里，比如电子签名服务。X.509证书里含有公钥、身份信息（比如网络主机名，组织的名称或个体名称等）和签名信息（可以是证书签发机构CA的签名，也可以是自签名）。

说白了，就是一个常用的数字证书标准。一个标准的X.509数字证书包含以下内容：

证书
- 版本号
- 序列号
- 签名算法
- 证书有效期
  - 此日期前无效
  - 此日期后无效
- 主题
- 主题公钥信息
  - 公钥算法
  - 主题公钥
- 颁发着唯一身份信息（可选项）
- 主题唯一身份信息（可选项）
- 扩展信息（可选项）
  - ……
证书签名算法
数字签名

证书格式

.key：一般是base64编码的公钥或私钥文件
.der .cer .crt：DER二进制编码格式的证书
.pem .cer .crt：DER二进制编码格式进行base64编码的证书
.p12：包含证书和私钥的文件

相关命令

# .key文件生成（pem）
openssl genrsa -out xxx.key 2048
# .key文件查看（pem）
openssl rsa -noout -text -in xxx.key
# .key从pem转到der（der）
openssl rsa -in xxx.key -outform der -out xxx-der.key
# .key文件查看（der）
openssl rsa -noout -text -inform der -in xxx-der.key


# .pem证书文件生成
openssl req -x509 -new -key xxx.key -out xxx.pem
# .pem证书文件查看
openssl x509 -noout -text -in xxx.pem


# .der证书文件生成
openssl req -x509 -new -outform der -key xxx.key -out xxx.der
# .der证书文件查看
openssl x509 -noout -text -inform der -in xxx.der

二、Kubernetes的CA证书

生成Kubernets需要用到的CA证书

# 192.168.56.105节点执行
mkdir -p /etc/kubernetes/pki
openssl genrsa -out /etc/kubernetes/pki/ca.key 2048
openssl req -x509 -new -key /etc/kubernetes/pki/ca.key -days 36500 -subj "/CN=192.168.56.105" -out /etc/kubernetes/pki/ca.crt

结果截图

复制ca.key和ca.crt到106、107虚拟机

1
2
3

# 192.168.56.106和192.168.56.107节点执行
mkdir -p /etc/kubernetes/pki
scp -r root@192.168.56.105:/etc/kubernetes/pki/ /etc/kubernetes

(•̀ᴗ•́)و ̑̑

TechContainerKubernetes

零、目录

一、证书

x509

证书格式

相关命令

二、Kubernetes的CA证书

生成Kubernets需要用到的CA证书

复制ca.key和ca.crt到106、107虚拟机