⒈安装CFSSL

wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64

wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64

https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64

  ①生成证书

  ②利用Json生成证书

  ③查看证书信息的工具

⒉修改权限

chmod +x cfssl_linux-amd64 cfssljson_linux-amd64 cfssl-certinfo_linux-amd64

⒊移动文件

mv cfssl_linux-amd64 /usr/local/bin/cfssl

mv cfssljson_linux-amd64 /usr/local/bin/cfssljson

mv cfssl-certinfo_linux-amd64 /usr/local/bin/cfssl-certinfo

⒋验证指令

cfssl --help

  ①print-defaults  输出生成证书的模板

*生成一个配置模板

cfssl print-defaults config > config.json

  默认生成的模板文件如下:

 {

     "signing": {  //签名

         "default": {

             "expiry": "168h"  //默认过期时间

         },

         "profiles": {

             "www": {

                 "expiry": "8760h",

                 "usages": [

                     "signing",

                     "key encipherment",

                     "server auth"

                 ]

             },

             "client": {

                 "expiry": "8760h",

                 "usages": [

                     "signing",

                     "key encipherment",

                     "client auth"

                 ]

             }

         }

     }

 }

*生成证书信息文件

cfssl print-defaults csr > csr.json

默认生成的模板文件如下:

 {

     "CN": "example.net",  //标识具体的域

     "hosts": [  //使用该证书的域名

         "example.net",

         "www.example.net"

     ],

     "key": {  //加密方式,一般RSA 2048

         "algo": "ecdsa",

         "size": 256

     },

     "names": [  //证书包含的信息,例如国家、地区等

         {

             "C": "US",

             "L": "CA",

             "ST": "San Francisco"

         }

     ]

 }

⒌生成配置模板及证书信息

 cat > ca-config.json <<EOF

 {

     "signing":{

         "default":{

             "expiry":"87600h"

         },

         "profiles":{

             "kubernetes":{

                 "expiry":"87600h",

                 "usages":[

                     "signing",

                     "key encipherment",

                     "server auth",

                     "client auth"

                 ]

             }

         }

     }

 }

 EOF

 cat > ca-csr.json <<EOF

 {

     "CN":"kubernetes",

     "key":{

         "algo":"rsa",

         "size":

     },

     "names":[

         {

             "C":"CN",

             "L":"Hebei",

             "ST":"Zhangjiakou",

             "O":"k8s",

             "OU":"System"

         }

     ]

 }

 EOF

⒍使用证书信息文件生成证书

 cfssl gencert -initca ca-csr.json | cfssljson -bare ca -

⒎生成服务端的配置模板及证书信息

 cat > server-csr.json << EOF

 {

     "CN":"kubernetes",

     "hosts":[

         "127.0.0.1",

         "192.168.0.211",

         "192.168.0.212",

         "192.168.0.213",

         "10.10.10.1",

         "kubernetes",

         "kubernetes.default",

         "kubernetes.default.svc",

         "kubernetes.default.svc.cluster",

         "kubernetes.default.svc.cluste.local"

     ],

     "key":{

         "algo":"rsa",

         "size":

     },

     "names":[

         {

             "C":"CN",

             "L":"Hebei",

             "ST":"Zhangjiakou",

             "O":"k8s",

             "OU":"System"

         }

     ]

 }

 EOF

⒏使用证书信息生成证书

 cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes server-csr.json | cfssljson -bare server

⒐集群管理员通过该证书访问集群

 cat > admin-csr.json <<EOF

 {

     "CN":"admin",

     "hosts":[],

     "key":{

         "algo":"rsa",

         "size":

     },

     "names":[

         {

             "C":"CN",

             "L":"Hebei",

             "ST":"Zhangjiakou",

             "O":"system:masters",

             "OU":"System"

         }

     ]

 }

 EOF

⒑生成证书

 cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes admin-csr.json | cfssljson -bare admin

 cat > kube-proxy-csr.json <<EOF

 {

     "CN":"system:kube-proxy",

     "hosts":[],

     "key":{

         "algo":"rsa",

         "size":

     },

     "names":[

         {

             "C":"CN",

             "L":"Hebei",

             "ST":"Zhangjiakou",

             "O":"k8s",

             "OU":"System"

         }

     ]

 }

 EOF

⒓生成证书

 cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kube-proxy-csr.json | cfssljson -bare kube-proxy

⒔只保留证书文件,删除多余的文件

 ls |grep -v pem |xargs -i rm {}

Linux使用CFSSL自签TLS证书的更多相关文章

  1. Kubernetes(k8s)集群部署(k8s企业级Docker容器集群管理)系列之自签TLS证书及Etcd集群部署(二)

    0.前言 整体架构目录:ASP.NET Core分布式项目实战-目录 k8s架构目录:Kubernetes(k8s)集群部署(k8s企业级Docker容器集群管理)系列目录 一.服务器设置 1.把每一 ...

  2. kubernetes容器集群自签TLS证书

    集群部署 1.环境规划 2.安装docker 3.自签TLS证书 4.部署Flannel网络 5.部署Etcd集群 6.创建Node节点kubeconfig文件 7.获取K8S二进制包 8.运行Mas ...

  3. Kubernetes 集群部署(1) -- 自签 TLS 证书

    集群功能各模块功能描述: Master节点:主要由四个模块组成,APIServer,schedule, controller-manager, etcd APIServer: APIServer负责对 ...

  4. kubernetes(K8S)创建自签TLS证书

    TLS证书用于进行通信使用,组件需要证书关系如下: 组件 需要使用的证书 etcd ca.pem server.pem server-key.pem flannel ca.pem server.pem ...

  5. k8s自签TLS证书

    自签TLS证书 TLS证书用于进行通信使用,k8s组件需要的证书有: 第一步:安装证书生成工具cfssl 在这之前需要先建立一个目录来存放安装的工具mkdir ssl,后面将安装的工具移动到各自的目录 ...

  6. 基于TLS证书手动部署kubernetes集群(上)

    一.简介 Kubernetes是Google在2014年6月开源的一个容器集群管理系统,使用Go语言开发,Kubernetes也叫K8S. K8S是Google内部一个叫Borg的容器集群管理系统衍生 ...

  7. (转)基于TLS证书手动部署kubernetes集群(上)

    转:https://www.cnblogs.com/wdliu/archive/2018/06/06/9147346.html 一.简介 Kubernetes是Google在2014年6月开源的一个容 ...

  8. 基于TLS证书手动部署kubernetes集群

      一.简介 Kubernetes是Google在2014年6月开源的一个容器集群管理系统,使用Go语言开发,Kubernetes也叫K8S. K8S是Google内部一个叫Borg的容器集群管理系统 ...

  9. 使用TLS证书保护Docker

    使用TLS证书保护Docker 当我们使用远程调用docker时,未设置TLS的docker,将可以被任何人调用,这是极其危险的. 在阿里云上跑的docker,这次就被不怀好意的人扫描到了默认端口,2 ...

随机推荐

  1. 数据的存储方式:SQLiteOpenHelper的用法

    Android为了让我们能够更加方便的的管理数据,专门提供了一个SQLiteOpenHelper类,它是一个抽象类,如果我们想要使用它,就需要创建一个自己帮助类去继承它,而且它有两个抽象的方法,分别是 ...

  2. Activiti6-TaskService(学习笔记)重要

    任务管理服务: 可以看出来,TaskService操作对象,主要针对于UserTask, 对于业务方来说,最重要的就是用户任务,可以对用户任务进行增删改查的管理.可以对相关流程的控制.也可以设置一些用 ...

  3. Python视频人脸检测识别

    案例 这里我们还是使用 opencv 中自带了 haar人脸特征分类器,通过读取一段视频来识别其中的人脸. 代码实现:   动图有点花,讲究着看吧:   如果是捕捉摄像头,只需要改变以下代码即可: c ...

  4. Python静态网页爬取:批量获取高清壁纸

    前言 在设计爬虫项目的时候,首先要在脑内明确人工浏览页面获得图片时的步骤 一般地,我们去网上批量打开壁纸的时候一般操作如下: 1.打开壁纸网页 2.单击壁纸图(打开指定壁纸的页面) 3.选择分辨率(我 ...

  5. 起步wex5 谷歌浏览器兼容性问题,CheckBox不显示

  6. 在ConoHa上Centos7环境下源码安装部署LNMP

    本文记录了从源码,在Centos 7上手动部署LNMP环境的过程,为了方便以后对nginx和mariadb进行升级,这里采用yum的方式进行安装. 1.建立运行网站和数据库的用户和组 groupadd ...

  7. Linux 下安装idea,提示svn版本太低问题

    在 RedHat 6.5 虚拟机上装了 Idea 2017, 将项目代码从 Windows 共享到虚拟机中,然后 Idea 提示 svn 版本太旧, 上网查资料说 Idea 2018 不支持1.7以下 ...

  8. miui 系统铃声

    MIUI7-8系统铃声和通知铃声等,从miui system.img中提取出来的: 链接:http://pan.baidu.com/s/1bpH5N5P 密码:tz7p

  9. 「FFT」题单(upd 2019.4.28)

    持续更新(last upd 2019.4.28) ZJOI2014 力 [题目链接] 解法 对原式进行转换,然后卷积FFT套上去求解就可以了. 推导过程简洁版: \[F_i=\sum_{j<i} ...

  10. 深入理解JVM(6)——Java内存模型和线程

    Java虚拟机规范中定义了Java内存模型(Java Memory Model,JMM)用来屏蔽掉各种硬件和操作系统的内存访问差异,以实现让Java程序在各种平台下都能达到一致的内存访问效果(“即Ja ...