Kubernetes证书相关(CFSSL)
Github 地址: https://github.com/cloudflare/cfssl
官网地址: https://pkg.cfssl.org/
CFSSL是CloudFlare开源的一款PKI/TLS工具。 CFSSL 包含一个命令行工具 和一个用于 签名,验证并且捆绑TLS证书的 HTTP API 服务。 使用Go语言编写。
下载相关软件
curl -s -L -o /usr/bin/cfssl https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 curl -s -L -o /usr/bin/cfssl-certinfo https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -O /usr/bin/cfssljson chmod +x /bin/cfssl*
集群相关证书类型
client certificate: 用于服务端认证客户端,例如etcdctl、etcd proxy、fleetctl、docker客户端
server certificate: 服务端使用,客户端以此验证服务端身份,例如docker服务端、kube-apiserver
peer certificate: 双向证书,用于etcd集群成员间通信
根据认证对象可以将证书分成三类:服务器证书server cert,客户端证书client cert,对等证书peer cert(表示既是server cert又是client cert),在kubernetes 集群中需要的证书种类如下:
-
etcd节点需要标识自己服务的server cert,也需要client cert与etcd集群其他节点交互,当然可以分别指定2个证书,也可以使用一个对等证书 -
master节点需要标识 apiserver服务的server cert,也需要client cert连接etcd集群,这里也使用一个对等证书 -
kubectlcalicokube-proxy只需要client cert,因此证书请求中 hosts 字段可以为空 -
kubelet证书比较特殊,不是手动生成,它由node节点TLS BootStrap向apiserver请求,由master节点的controller-manager自动签发,包含一个client cert和一个server cert
创建CA配置文件
mkdir /opt/certs -p cat > /opt/certs/ca-config.json <<EOF { "signing": { "default": { "expiry": "87600h" }, "profiles": { "kubernetes": { "usages": [ "signing", "key encipherment", "server auth", "client auth" ], "expiry": "87600h" } } } } EOF
创建CA证书签名请求
cat > /opt/certs/ca-csr.json <<EOF { "CN": "kubernetes", "hosts":[ ], "key": { "algo": "rsa", "size": 2048 }, "names": [ { "C": "CN", "L": "BeiJing", "O": "Ctnan", "ST": "BeiJing", "OU": "ops" } ], "ca":{ "expiry": "175200h" } } EOF
字段含义:
CN:一般为网站域名;而对于代码签名证书则为申请单位名称;而对于客户端证书则为证书申请者的姓名;
C:只能是国家字母缩写,如中国:CN
ST:州、省
L :地区、城市
O:组织名称,公司名称
OU :组织单位名称,公司部门
生成CA和私钥
生成CA所必需的文件ca-key.pem(私钥)和ca.pem(证书),还会生成ca.csr(证书签名请求),用于交叉签名或重新签名。
cd /opt/certs/
cfssl gencert -initca ca-csr.json | cfssljson -bare ca
浙公网安备 33010602011771号