02-建立 TLS CA證書及密鑰
本文檔記錄本身的學習歷程!
建立 TLS CA證書及密鑰
kubernetes 系統的各組件須要使用 TLS 證書對通訊進行加密,本文檔使用 CloudFlare 的 PKI 工具集 cfssl 來生成 Certificate Authority (CA) 和其它證書;html
生成的 CA 證書和祕鑰文件以下:node
- ca-key.pem
- ca.pem
- kubernetes-key.pem
- kubernetes.pem
- kube-proxy.pem
- kube-proxy-key.pem
- admin.pem
- admin-key.pem
使用證書的組件以下:linux
- etcd:使用 ca.pem、kubernetes-key.pem、kubernetes.pem;
- kube-apiserver:使用 ca.pem、kubernetes-key.pem、kubernetes.pem;
- kubelet:使用 ca.pem;
- kube-proxy:使用 ca.pem、kube-proxy-key.pem、kube-proxy.pem;
- kubectl:使用 ca.pem、admin-key.pem、admin.pem;
kube-controller、kube-scheduler 當前須要和 kube-apiserver 部署在同一臺機器上且使用非安全端口通訊,能夠不使用證書。git
安裝 CFSSL
使用二進制源碼包安裝github
# wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 # chmod +x cfssl_linux-amd64 # mv cfssl_linux-amd64 /usr/bin/cfssl # wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 # chmod +x cfssljson_linux-amd64 # mv cfssljson_linux-amd64 /usr/bin/cfssljson # wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 # chmod +x cfssl-certinfo_linux-amd64 # mv cfssl-certinfo_linux-amd64 /usr/bin/cfssl-certinfo
在/usr/bin目錄下獲得以cfssl開頭的幾個命令json
建立 CA (Certificate Authority)
建立 CA 配置文件api
# mkdir /root/ssl
# cd /root/ssl
# cfssl print-defaults config > config.json
# cfssl print-defaults csr > csr.json
# cat ca-config.json
{
"signing": {
"default": {
"expiry": "8760h"
},
"profiles": {
"kubernetes": {
"usages": [
"signing",
"key encipherment",
"server auth",
"client auth"
],
"expiry": "8760h"
}
}
}
}
字段說明瀏覽器
ca-config.json:能夠定義多個 profiles,分別指定不一樣的過時時間、使用場景等參數;後續在簽名證書時使用某個 profile;signing:表示該證書可用於簽名其它證書;生成的 ca.pem 證書中CA=TRUE;server auth:表示client能夠用該 CA 對server提供的證書進行驗證;client auth:表示server能夠用該CA對client提供的證書進行驗證;
建立 CA 證書籤名請求安全
# cat ca-csr.json
{
"CN": "kubernetes",
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"ST": "BeiJing",
"L": "BeiJing",
"O": "k8s",
"OU": "System"
}
]
}
- "CN":
Common Name,kube-apiserver 從證書中提取該字段做爲請求的用戶名 (User Name);瀏覽器使用該字段驗證網站是否合法; - "O":
Organization,kube-apiserver 從證書中提取該字段做爲請求用戶所屬的組 (Group);
生成 CA 證書和私鑰bash
# cfssl gencert -initca ca-csr.json | cfssljson -bare ca # ls ca* ca-config.json ca.csr ca-csr.json ca-key.pem ca.pem
建立 kubernetes 證書
建立 kubernetes 證書籤名請求
# cat kubernetes-csr.json
{
"CN": "kubernetes",
"hosts": [
"127.0.0.1",
"192.168.1.121",
"192.168.1.122",
"192.168.1.123",
"10.254.0.1",
"kubernetes",
"kubernetes.default",
"kubernetes.default.svc",
"kubernetes.default.svc.cluster",
"kubernetes.default.svc.cluster.local"
],
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"ST": "BeiJing",
"L": "BeiJing",
"O": "k8s",
"OU": "System"
}
]
}
- 若是 hosts 字段不爲空則須要指定受權使用該證書的 IP 或域名列表,因爲該證書後續被
etcd集羣和kubernetes master集羣使用,因此上面分別指定了etcd集羣、kubernetes master集羣的主機 IP 和kubernetes服務的服務 IP(通常是kue-apiserver指定的service-cluster-ip-range網段的第一個IP,如 10.254.0.1。
生成 kubernetes 證書和私鑰
# cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kubernetes-csr.json | cfssljson -bare kubernetes # ls kuberntes* kubernetes.csr kubernetes-csr.json kubernetes-key.pem kubernetes.pem
或者直接在命令行上指定相關參數:
# echo '{"CN":"kubernetes","hosts":[""],"key":{"algo":"rsa","size":2048}}' | cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes -hostname="127.0.0.1,172.20.0.112,172.20.0.113,172.20.0.114,172.20.0.115,kubernetes,kubernetes.default" - | cfssljson -bare kubernetes
建立 admin 證書
建立 admin 證書籤名請求
# cat admin-csr.json
{
"CN": "admin",
"hosts": [],
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"ST": "BeiJing",
"L": "BeiJing",
"O": "system:masters",
"OU": "System"
}
]
}
- 後續
kube-apiserver使用RBAC對客戶端(如kubelet、kube-proxy、Pod)請求進行受權; kube-apiserver預約義了一些RBAC使用的RoleBindings,如cluster-admin將 Groupsystem:masters與 Rolecluster-admin綁定,該 Role 授予了調用kube-apiserver的全部 API的權限;- OU 指定該證書的 Group 爲
system:masters,kubelet使用該證書訪問kube-apiserver時 ,因爲證書被 CA 簽名,因此認證經過,同時因爲證書用戶組爲通過預受權的system:masters,因此被授予訪問全部 API 的權限;
生成 admin 證書和私鑰
# cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes admin-csr.json | cfssljson -bare admin # ls admin* admin.csr admin-csr.json admin-key.pem admin.pem
建立 kube-proxy 證書
建立 kube-proxy 證書籤名請求
# cat kube-proxy-csr.json
{
"CN": "system:kube-proxy",
"hosts": [],
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"ST": "BeiJing",
"L": "BeiJing",
"O": "k8s",
"OU": "System"
}
]
}
- CN 指定該證書的 User 爲
system:kube-proxy; kube-apiserver預約義的 RoleBindingcluster-admin將Usersystem:kube-proxy與 Rolesystem:node-proxier綁定,該 Role 授予了調用kube-apiserverProxy 相關 API 的權限;
生成 kube-proxy 客戶端證書和私鑰
# cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kube-proxy-csr.json | cfssljson -bare kube-proxy # ls kube-proxy* kube-proxy.csr kube-proxy-csr.json kube-proxy-key.pem kube-proxy.pem
校驗證書
以 kubernetes 證書爲例
使用 opsnssl 命令
# openssl x509 -noout -text -in kubernetes.pem
...
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=CN, ST=BeiJing, L=BeiJing, O=k8s, OU=System, CN=Kubernetes
Validity
Not Before: Apr 5 05:36:00 2017 GMT
Not After : Apr 5 05:36:00 2018 GMT
Subject: C=CN, ST=BeiJing, L=BeiJing, O=k8s, OU=System, CN=kubernetes
...
X509v3 extensions:
X509v3 Key Usage: critical
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication
X509v3 Basic Constraints: critical
CA:FALSE
X509v3 Subject Key Identifier:
DD:52:04:43:10:13:A9:29:24:17:3A:0E:D7:14:DB:36:F8:6C:E0:E0
X509v3 Authority Key Identifier:
keyid:44:04:3B:60:BD:69:78:14:68:AF:A0:41:13:F6:17:07:13:63:58:CD
X509v3 Subject Alternative Name:
DNS:kubernetes, DNS:kubernetes.default, DNS:kubernetes.default.svc, DNS:kubernetes.default.svc.cluster, DNS:kubernetes.default.svc.cluster.local, IP Address:127.0.0.1, IP Address:192.168.1.121, IP Address:192.168.1.122, IP Address:192.168.1.123, IP Address:10.254.0.1
...
- 確認
Issuer字段的內容和ca-csr.json一致; - 確認
Subject字段的內容和kubernetes-csr.json一致; - 確認
X509v3 Subject Alternative Name字段的內容和kubernetes-csr.json一致; - 確認
X509v3 Key Usage、Extended Key Usage字段的內容和ca-config.json中kubernetesprofile 一致;
使用 cfssl-certinfo 命令
# cfssl-certinfo -cert kubernetes.pem
...
{
"subject": {
"common_name": "kubernetes",
"country": "CN",
"organization": "k8s",
"organizational_unit": "System",
"locality": "BeiJing",
"province": "BeiJing",
"names": [
"CN",
"BeiJing",
"BeiJing",
"k8s",
"System",
"kubernetes"
]
},
"issuer": {
"common_name": "Kubernetes",
"country": "CN",
"organization": "k8s",
"organizational_unit": "System",
"locality": "BeiJing",
"province": "BeiJing",
"names": [
"CN",
"BeiJing",
"BeiJing",
"k8s",
"System",
"Kubernetes"
]
},
"serial_number": "174360492872423263473151971632292895707129022309",
"sans": [
"kubernetes",
"kubernetes.default",
"kubernetes.default.svc",
"kubernetes.default.svc.cluster",
"kubernetes.default.svc.cluster.local",
"127.0.0.1",
"10.64.3.7",
"10.254.0.1"
],
"not_before": "2017-04-05T05:36:00Z",
"not_after": "2018-04-05T05:36:00Z",
"sigalg": "SHA256WithRSA",
...
分發證書
將生成的證書和祕鑰文件(後綴名爲.pem)拷貝到全部機器的 /etc/kubernetes/ssl 目錄下後續使用;
# mkdir -p /etc/kubernetes/ssl # cp *.pem /etc/kubernetes/ssl # scp *.pem xxxx:/etc/kubernetes/ssl
參考
相關文章
- 1. CA證書和TLS介紹
- 2. 利用CA私鑰和證書建立中間CA
- 3. kubernetes集羣安裝指南:建立CA證書及相關組件證書密鑰
- 4. openssl創建私鑰CA及使用CA爲客戶端頒發證書
- 5. 建立私有CA和證書申請
- 6. 證書-公鑰-私鑰 ---SSL/TLS(2)
- 7. 【k8s部署】2. 建立CA根證書和祕鑰
- 8. 部署 kubectl 命令行工具 建立 CA 證書和祕鑰
- 9. 建立私有CA 頒發免費的CA證書
- 10. 創建私有CA及頒發證書
- 更多相關文章...
- • Eclipse 添加書籤 - Eclipse 教程
- • XML 驗證器 - XML 教程
- • Flink 數據傳輸及反壓詳解
- • 適用於PHP初學者的學習線路和建議
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
