CFSSL使用方法重新整理说明-创新互联

CFSSL是CloudFlare的PKI / TLS瑞士×××。它既是命令行工具，也是用于签名，验证和捆绑TLS证书的HTTP API服务器.
1.下载安装CFSSL(用于签名，验证和捆绑TLS证书的HTTP API工具)（master节点）
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
mv cfssl-certinfo_linux-amd64 /usr/local/bin/cfssl-certinfo
mv cfssl_linux-amd64 /usr/local/bin/cfssl
mv https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 /usr/local/bin/cfssljson
chmod +x /usr/local/bin/cfssl /usr/local/bin/cfssl-certinfo /usr/local/bin/cfssljson

创新互联是专业的朝阳县网站建设公司，朝阳县接单;提供成都网站设计、成都网站建设、外贸网站建设,网页设计,网站设计,建网站,PHP网站建设等专业做网站服务;采用PHP框架,可快速的进行朝阳县网站开发网页制作和功能扩展;专业做搜索引擎喜爱的网站,专业的做网站团队,希望更多企业前来合作!

2创建CA(Certificate Authority)（master节点）
    mkdir /root/ssl
    cd /root/ssl
    cfssl print-defaults config > config.json # 默认配置模板
    cfssl print-defaults csr > csr.json #默认csr请求模板
    # 根据config.json文件的格式创建如下的ca-config.json文件
    # 过期时间设置成了 87600h

    cat > ca-config.json <<EOF
    {
      "signing": {
        "default": {
          "expiry": "87600h"
        },
        "profiles": {
          "kubernetes": {
            "usages": [
                "signing",
                "key encipherment",
                "server auth",
                "client auth"
            ],
            "expiry": "87600h"
          }
        }
      }
    }
    EOF

        知识点：
            ca-config.json：可以定义多个 profiles，分别指定不同的过期时间、使用场景等参数；后续在签名证书时使用某个 profile；此实例只有一个kubernetes模板。
            signing：表示该证书可用于签名其它证书；生成的 ca.pem 证书中 CA=TRUE；
            server auth：表示client可以用该 CA 对server提供的证书进行验证；
            client auth：表示server可以用该CA对client提供的证书进行验证；
            注意标点符号，最后一个字段一般是没有都好的。

3 创建证书请求

    cat > ca-csr.json <<EOF
    {
      "CN": "kubernetes",    
      "key": {
        "algo": "rsa",
        "size": 2048
      },
      "names": [
        {
          "C": "CN",
          "ST": "GuangDong",
          "L": "ShenZhen",
          "O": "k8s",
          "OU": "System"
        }
      ],
        "ca": {
           "expiry": "87600h"
        }
    }   
    EOF

        知识点：
            "CN"：Common Name，kube-apiserver 从证书中提取该字段作为请求的用户名 (User Name)
            "O"：Organization，kube-apiserver 从证书中提取该字段作为请求用户所属的组 (Group)

4 生成CA证书和私钥
    cfssl gencert -initca ca-csr.json | cfssljson -bare ca
    将会生成 ca-key.pem（私钥）  ca.pem（公钥）
    知识点： cfssljson只是整理json格式，-bare主要的意义在于命名 （个人见解，以便理解，勿喷）

5 创建kubernetes证书请求文件
    cat > kubernetes-csr.json <<EOF
    {
        "CN": "kubernetes",
        "hosts": [
          "127.0.0.1",
          "10.192.44.129",
          "10.192.44.128",
          "10.192.44.126",
          "10.192.44.127",
          "10.254.0.1",
          "*.kubernetes.master",
          "localhost",
          "kubernetes",
          "kubernetes.default",
          "kubernetes.default.svc",
          "kubernetes.default.svc.cluster",
          "kubernetes.default.svc.cluster.local"
        ],
        "key": {
            "algo": "rsa",
            "size": 2048
        },
        "names": [
            {
                "C": "CN",
                "ST": "GuangDong",
                "L": "ShenZhen",
                "O": "k8s",
                "OU": "System"
            }
        ]
    }
        EOF
            知识点：
                这个证书目前专属于 apiserver加了一个 *.kubernetes.master 域名以便内部私有 DNS 解析使用(可删除)；至于很多人问过 kubernetes 这几个能不能删掉，答案是不可以的；因为当集群创建好后，default namespace 下会创建一个叫 kubenretes 的 svc，有一些组件会直接连接这个 svc 来跟 api 通讯的，证书如果不包含可能会出现无法连接的情况；其他几个 kubernetes 开头的域名作用相同
                hosts包含的是授权范围，不在此范围的的节点或者服务使用此证书就会报证书不匹配错误。
                10.254.0.1是指kube-apiserver 指定的 service-cluster-ip-range 网段的第一个IP。
                #hosts配置区域，即一个证书的网站可以是*.youku.com也是可以是*.google.com
6 kubernetes证书和私钥
        cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kubernetes-csr.json | cfssljson -bare kubernetes 
        知识点： -config 引用的是模板中的默认配置文件，-profiles是指定特定的使用场景，比如ca-config.json中的kubernetes区域
7 创建admin证书
        cat > admin-csr.json <<EOF
        {
          "CN": "admin",
          "hosts": [],
          "key": {
            "algo": "rsa",
            "size": 2048
          },
          "names": [
            {
              "C": "CN",
              "ST": "GuangDong",
              "L": "ShenZhen",
              "O": "system:masters",
              "OU": "System"
            }
          ]
        }
        EOF

8 生成admin证书和私钥
        cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes admin-csr.json | cfssljson -bare admin
            知识点：
                这个admin 证书，是将来生成管理员用的kube config 配置文件用的，现在我们一般建议使用RBAC 来对kubernetes 进行角色权限控制， kubernetes 将证书中的CN 字段 作为User， O 字段作为 Group

另外有需要云服务器可以了解下创新互联cdcxhl.cn，海内外云服务器15元起步，三天无理由+7*72小时售后在线，公司持有idc许可证，提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案，具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势，专为企业上云打造定制，能够满足用户丰富、多元化的应用场景需求。

当前文章：CFSSL使用方法重新整理说明-创新互联
网页网址：https://www.cdcxhl.com/article8/doodip.html

成都网站建设公司_创新互联，为您提供静态网站、App设计、移动网站建设、网站设计公司、企业建站、网站设计

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联