02-创建 TLS CA证书及密钥
2018-01-29 20:03
330 查看
本文档记录自己的学习历程!
创建 TLS CA证书及密钥
kubernetes系统的各组件需要使用
TLS证书对通信进行加密,本文档使用
CloudFlare的 PKI 工具集 cfssl 来生成 Certificate Authority (CA) 和其它证书;
生成的 CA 证书和秘钥文件如下:
ca-key.pem
ca.pem
kubernetes-key.pem
kubernetes.pem
kube-proxy.pem
kube-proxy-key.pem
admin.pem
admin-key.pem
使用证书的组件如下:
etcd:使用 ca.pem、kubernetes-key.pem、kubernetes.pem;
kube-apiserver:使用 ca.pem、kubernetes-key.pem、kubernetes.pem;
kubelet:使用 ca.pem;
kube-proxy:使用 ca.pem、kube-proxy-key.pem、kube-proxy.pem;
kubectl:使用 ca.pem、admin-key.pem、admin.pem;
kube-controller、
kube-scheduler当前需要和
kube-apiserver部署在同一台机器上且使用非安全端口通信,可以不使用证书。
安装 CFSSL
使用二进制源码包安装# wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 # chmod +x cfssl_linux-amd64 # mv cfssl_linux-amd64 /usr/bin/cfssl # wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 # chmod +x cfssljson_linux-amd64 # mv cfssljson_linux-amd64 /usr/bin/cfssljson # wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 # chmod +x cfssl-certinfo_linux-amd64 # mv cfssl-certinfo_linux-amd64 /usr/bin/cfssl-certinfo
在
/usr/bin目录下得到以cfssl开头的几个命令
创建 CA (Certificate Authority)
创建 CA 配置文件# mkdir /root/ssl # cd /root/ssl # cfssl print-defaults config > config.json # cfssl print-defaults csr > csr.json # cat ca-config.json { "signing": { "default": { "expiry": "8760h" }, "profiles": { "kubernetes": { "usages": [ "signing", "key encipherment", "server auth", "client auth" ], "expiry": "8760h" } } } }
字段说明
ca-config.json:可以定义多个 profiles,分别指定不同的过期时间、使用场景等参数;后续在签名证书时使用某个 profile;
signing:表示该证书可用于签名其它证书;生成的 ca.pem 证书中
CA=TRUE;
server auth:表示client可以用该 CA 对server提供的证书进行验证;
client auth:表示server可以用该CA对client提供的证书进行验证;
创建 CA 证书签名请求
# cat ca-csr.json { "CN": "kubernetes", "key": { "algo": "rsa", "size": 2048 }, "names": [ { "C": "CN", "ST": "BeiJing", "L": "BeiJing", "O": "k8s", "OU": "System" } ] }
"CN":
Common Name,kube-apiserver 从证书中提取该字段作为请求的用户名 (User Name);浏览器使用该字段验证网站是否合法;
"O":
Organization,kube-apiserver 从证书中提取该字段作为请求用户所属的组 (Group);
生成 CA 证书和私钥
# cfssl gencert -initca ca-csr.json | cfssljson -bare ca # ls ca* ca-config.json ca.csr ca-csr.json ca-key.pem ca.pem
创建 kubernetes 证书
创建 kubernetes 证书签名请求# cat kubernetes-csr.json { "CN": "kubernetes", "hosts": [ "127.0.0.1", "192.168.1.121", "192.168.1.122", "192.168.1.123", "10.254.0.1", "kubernetes", "kubernetes.default", "kubernetes.default.svc", "kubernetes.default.svc.cluster", "kubernetes.default.svc.cluster.local" ], "key": { "algo": "rsa", "size": 2048 }, "names": [ { "C": "CN", "ST": "BeiJing", "L": "BeiJing", "O": "k8s", "OU": "System" } ] }
如果 hosts 字段不为空则需要指定授权使用该证书的 IP 或域名列表,由于该证书后续被
etcd集群和
kubernetes master集群使用,所以上面分别指定了
etcd集群、
kubernetes master集群的主机 IP 和
kubernetes服务的服务 IP(一般是
kue-apiserver指定的
service-cluster-ip-range网段的第一个IP,如 10.254.0.1。
生成 kubernetes 证书和私钥
# cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kubernetes-csr.json | cfssljson -bare kubernetes # ls kuberntes* kubernetes.csr kubernetes-csr.json kubernetes-key.pem kubernetes.pem
或者直接在命令行上指定相关参数:
# echo '{"CN":"kubernetes","hosts":[""],"key":{"algo":"rsa","size":2048}}' | cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes -hostname="127.0.0.1,172.20.0.112,172.20.0.113,172.20.0.114,172.20.0.115,kubernetes,kubernetes.default" - | cfssljson -bare kubernetes
创建 admin 证书
创建 admin 证书签名请求# cat admin-csr.json { "CN": "admin", "hosts": [], "key": { "algo": "rsa", "size": 2048 }, "names": [ { "C": "CN", "ST": "BeiJing", "L": "BeiJing", "O": "system:masters", "OU": "System" } ] }
后续
kube-apiserver使用
RBAC对客户端(如
kubelet、
kube-proxy、
Pod)请求进行授权;
kube-apiserver预定义了一些
RBAC使用的
RoleBindings,如
cluster-admin将 Group
system:masters与 Role
cluster-admin绑定,该 Role 授予了调用
kube-apiserver的所有 API的权限;
OU 指定该证书的 Group 为
system:masters,
kubelet使用该证书访问
kube-apiserver时 ,由于证书被 CA 签名,所以认证通过,同时由于证书用户组为经过预授权的
system:masters,所以被授予访问所有 API 的权限;
生成 admin 证书和私钥
# cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes admin-csr.json | cfssljson -bare admin # ls admin* admin.csr admin-csr.json admin-key.pem admin.pem
创建 kube-proxy 证书
创建 kube-proxy 证书签名请求# cat kube-proxy-csr.json { "CN": "system:kube-proxy", "hosts": [], "key": { "algo": "rsa", "size": 2048 }, "names": [ { "C": "CN", "ST": "BeiJing", "L": "BeiJing", "O": "k8s", "OU": "System" } ] }
CN 指定该证书的 User 为
system:kube-proxy;
kube-apiserver预定义的 RoleBinding
cluster-admin将User
system:kube-proxy与 Role
system:node-proxier绑定,该 Role 授予了调用
kube-apiserverProxy 相关 API 的权限;
生成 kube-proxy 客户端证书和私钥
# cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kube-proxy-csr.json | cfssljson -bare kube-proxy # ls kube-proxy* kube-proxy.csr kube-proxy-csr.json kube-proxy-key.pem kube-proxy.pem
校验证书
以 kubernetes 证书为例使用 opsnssl
命令
# openssl x509 -noout -text -in kubernetes.pem ... Signature Algorithm: sha256WithRSAEncryption Issuer: C=CN, ST=BeiJing, L=BeiJing, O=k8s, OU=System, CN=Kubernetes Validity Not Before: Apr 5 05:36:00 2017 GMT Not After : Apr 5 05:36:00 2018 GMT Subject: C=CN, ST=BeiJing, L=BeiJing, O=k8s, OU=System, CN=kubernetes ... X509v3 extensions: X509v3 Key Usage: critical Digital Signature, Key Encipherment X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication X509v3 Basic Constraints: critical CA:FALSE X509v3 Subject Key Identifier: DD:52:04:43:10:13:A9:29:24:17:3A:0E:D7:14:DB:36:F8:6C:E0:E0 X509v3 Authority Key Identifier: keyid:44:04:3B:60:BD:69:78:14:68:AF:A0:41:13:F6:17:07:13:63:58:CD X509v3 Subject Alternative Name: DNS:kubernetes, DNS:kubernetes.default, DNS:kubernetes.default.svc, DNS:kubernetes.default.svc.cluster, DNS:kubernetes.default.svc.cluster.local, IP Address:127.0.0.1, IP Address:192.168.1.121, IP Address:192.168.1.122, IP Address:192.168.1.123, IP Address:10.254.0.1 ...
确认
Issuer字段的内容和
ca-csr.json一致;
确认
Subject字段的内容和
kubernetes-csr.json一致;
确认
X509v3 Subject Alternative Name字段的内容和
kubernetes-csr.json一致;
确认
X509v3 Key Usage、Extended Key Usage字段的内容和
ca-config.json中
kubernetesprofile 一致;
使用 cfssl-certinfo
命令
# cfssl-certinfo -cert kubernetes.pem ... { "subject": { "common_name": "kubernetes", "country": "CN", "organization": "k8s", "organizational_unit": "System", "locality": "BeiJing", "province": "BeiJing", "names": [ "CN", "BeiJing", "BeiJing", "k8s", "System", "kubernetes" ] }, "issuer": { "common_name": "Kubernetes", "country": "CN", "organization": "k8s", "organizational_unit": "System", "locality": "BeiJing", "province": "BeiJing", "names": [ "CN", "BeiJing", "BeiJing", "k8s", "System", "Kubernetes" ] }, "serial_number": "174360492872423263473151971632292895707129022309", "sans": [ "kubernetes", "kubernetes.default", "kubernetes.default.svc", "kubernetes.default.svc.cluster", "kubernetes.default.svc.cluster.local", "127.0.0.1", "10.64.3.7", "10.254.0.1" ], "not_before": "2017-04-05T05:36:00Z", "not_after": "2018-04-05T05:36:00Z", "sigalg": "SHA256WithRSA", ...
分发证书
将生成的证书和秘钥文件(后缀名为.pem)拷贝到所有机器的
/etc/kubernetes/ssl目录下
后续使用;
# mkdir -p /etc/kubernetes/ssl # cp *.pem /etc/kubernetes/ssl # scp *.pem xxxx:/etc/kubernetes/ssl
参考
Generate self-signed certificatesSetting up a Certificate Authority and Creating TLS Certificates
Client Certificates V/s Server Certificates
数字证书及 CA 的扫盲介绍
相关文章推荐
- 创建X509证书,并获取证书密钥的一点研究
- 创建X509证书,并获取证书密钥的一点研究
- java加密解密--密钥格式,证书格式-02
- (转)创建X509证书,并获取证书密钥的一点研究
- ssh证书登录(密钥创建与用户设置)
- 创建X509证书,并获取证书密钥的一点研究(转载)
- java-使用keytool来创建管理密钥及证书等-java学习笔记(3)
- 创建X509证书,并获取证书密钥的一点研究
- 创建X509证书,并获取证书密钥的一点研究
- 创建,管理密钥和证书、加密和解密文件
- 创建并部署自签名的 SSL 证书到 Nginx
- linux下创建CA以及颁发证书
- 证书创建工具 (Makecert.exe)
- iOS:开发者中心证书创建流程
- 异常与错误02-创建异常
- 创建为ClickOnce清单签名的.pfx格式数字证书
- Java安全笔记(二)-创建对称密钥
- ios 推送证书没有密钥 解决方案【转载】
- 密钥,证书,签名相关概念