⒈安装CFSSL

wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64

wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64

https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64

  ①生成证书

  ②利用Json生成证书

  ③查看证书信息的工具

⒉修改权限

chmod +x cfssl_linux-amd64 cfssljson_linux-amd64 cfssl-certinfo_linux-amd64

⒊移动文件

mv cfssl_linux-amd64 /usr/local/bin/cfssl

mv cfssljson_linux-amd64 /usr/local/bin/cfssljson

mv cfssl-certinfo_linux-amd64 /usr/local/bin/cfssl-certinfo

⒋验证指令

cfssl --help

  ①print-defaults  输出生成证书的模板

*生成一个配置模板

cfssl print-defaults config > config.json

  默认生成的模板文件如下:

 {

     "signing": {  //签名

         "default": {

             "expiry": "168h"  //默认过期时间

         },

         "profiles": {

             "www": {

                 "expiry": "8760h",

                 "usages": [

                     "signing",

                     "key encipherment",

                     "server auth"

                 ]

             },

             "client": {

                 "expiry": "8760h",

                 "usages": [

                     "signing",

                     "key encipherment",

                     "client auth"

                 ]

             }

         }

     }

 }

*生成证书信息文件

cfssl print-defaults csr > csr.json

默认生成的模板文件如下:

 {

     "CN": "example.net",  //标识具体的域

     "hosts": [  //使用该证书的域名

         "example.net",

         "www.example.net"

     ],

     "key": {  //加密方式,一般RSA 2048

         "algo": "ecdsa",

         "size": 256

     },

     "names": [  //证书包含的信息,例如国家、地区等

         {

             "C": "US",

             "L": "CA",

             "ST": "San Francisco"

         }

     ]

 }

⒌生成配置模板及证书信息

 cat > ca-config.json <<EOF

 {

     "signing":{

         "default":{

             "expiry":"87600h"

         },

         "profiles":{

             "kubernetes":{

                 "expiry":"87600h",

                 "usages":[

                     "signing",

                     "key encipherment",

                     "server auth",

                     "client auth"

                 ]

             }

         }

     }

 }

 EOF

 cat > ca-csr.json <<EOF

 {

     "CN":"kubernetes",

     "key":{

         "algo":"rsa",

         "size":

     },

     "names":[

         {

             "C":"CN",

             "L":"Hebei",

             "ST":"Zhangjiakou",

             "O":"k8s",

             "OU":"System"

         }

     ]

 }

 EOF

⒍使用证书信息文件生成证书

 cfssl gencert -initca ca-csr.json | cfssljson -bare ca -

⒎生成服务端的配置模板及证书信息

 cat > server-csr.json << EOF

 {

     "CN":"kubernetes",

     "hosts":[

         "127.0.0.1",

         "192.168.0.211",

         "192.168.0.212",

         "192.168.0.213",

         "10.10.10.1",

         "kubernetes",

         "kubernetes.default",

         "kubernetes.default.svc",

         "kubernetes.default.svc.cluster",

         "kubernetes.default.svc.cluste.local"

     ],

     "key":{

         "algo":"rsa",

         "size":

     },

     "names":[

         {

             "C":"CN",

             "L":"Hebei",

             "ST":"Zhangjiakou",

             "O":"k8s",

             "OU":"System"

         }

     ]

 }

 EOF

⒏使用证书信息生成证书

 cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes server-csr.json | cfssljson -bare server

⒐集群管理员通过该证书访问集群

 cat > admin-csr.json <<EOF

 {

     "CN":"admin",

     "hosts":[],

     "key":{

         "algo":"rsa",

         "size":

     },

     "names":[

         {

             "C":"CN",

             "L":"Hebei",

             "ST":"Zhangjiakou",

             "O":"system:masters",

             "OU":"System"

         }

     ]

 }

 EOF

⒑生成证书

 cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes admin-csr.json | cfssljson -bare admin

 cat > kube-proxy-csr.json <<EOF

 {

     "CN":"system:kube-proxy",

     "hosts":[],

     "key":{

         "algo":"rsa",

         "size":

     },

     "names":[

         {

             "C":"CN",

             "L":"Hebei",

             "ST":"Zhangjiakou",

             "O":"k8s",

             "OU":"System"

         }

     ]

 }

 EOF

⒓生成证书

 cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kube-proxy-csr.json | cfssljson -bare kube-proxy

⒔只保留证书文件,删除多余的文件

 ls |grep -v pem |xargs -i rm {}

Linux使用CFSSL自签TLS证书的更多相关文章

  1. Kubernetes(k8s)集群部署(k8s企业级Docker容器集群管理)系列之自签TLS证书及Etcd集群部署(二)

    0.前言 整体架构目录:ASP.NET Core分布式项目实战-目录 k8s架构目录:Kubernetes(k8s)集群部署(k8s企业级Docker容器集群管理)系列目录 一.服务器设置 1.把每一 ...

  2. kubernetes容器集群自签TLS证书

    集群部署 1.环境规划 2.安装docker 3.自签TLS证书 4.部署Flannel网络 5.部署Etcd集群 6.创建Node节点kubeconfig文件 7.获取K8S二进制包 8.运行Mas ...

  3. Kubernetes 集群部署(1) -- 自签 TLS 证书

    集群功能各模块功能描述: Master节点:主要由四个模块组成,APIServer,schedule, controller-manager, etcd APIServer: APIServer负责对 ...

  4. kubernetes(K8S)创建自签TLS证书

    TLS证书用于进行通信使用,组件需要证书关系如下: 组件 需要使用的证书 etcd ca.pem server.pem server-key.pem flannel ca.pem server.pem ...

  5. k8s自签TLS证书

    自签TLS证书 TLS证书用于进行通信使用,k8s组件需要的证书有: 第一步:安装证书生成工具cfssl 在这之前需要先建立一个目录来存放安装的工具mkdir ssl,后面将安装的工具移动到各自的目录 ...

  6. 基于TLS证书手动部署kubernetes集群(上)

    一.简介 Kubernetes是Google在2014年6月开源的一个容器集群管理系统,使用Go语言开发,Kubernetes也叫K8S. K8S是Google内部一个叫Borg的容器集群管理系统衍生 ...

  7. (转)基于TLS证书手动部署kubernetes集群(上)

    转:https://www.cnblogs.com/wdliu/archive/2018/06/06/9147346.html 一.简介 Kubernetes是Google在2014年6月开源的一个容 ...

  8. 基于TLS证书手动部署kubernetes集群

      一.简介 Kubernetes是Google在2014年6月开源的一个容器集群管理系统,使用Go语言开发,Kubernetes也叫K8S. K8S是Google内部一个叫Borg的容器集群管理系统 ...

  9. 使用TLS证书保护Docker

    使用TLS证书保护Docker 当我们使用远程调用docker时,未设置TLS的docker,将可以被任何人调用,这是极其危险的. 在阿里云上跑的docker,这次就被不怀好意的人扫描到了默认端口,2 ...

随机推荐

  1. Divisibility by 25 CodeForces - 988E (技巧的暴力)

    You are given an integer nn from 11 to 10181018 without leading zeroes. In one move you can swap any ...

  2. Riccati方程(微分方程)

    形如:$$\frac{dy}{dx}=P(x)y^{2}+Q(x)y+R(x)$$ 其中P(x).Q(x).R(x)是连续可微函数 或形如 $$\frac{dy}{dx}=ay^{2}+\frac{k ...

  3. svg-sprite使用

    chainWebpack(config) { config.module .rule('svg') .exclude.add(path.resolve(__dirname,'src/assets/ic ...

  4. JS对JSON对象遍历输出的时候真的是按照顺序输出吗?

    对象的遍历输出并不是按照对象属性定义顺序来的,那么是按照什么规则来的呢,仔细深入研究你会发现,这还跟浏览器有关系,Chrome跟IE是不一样的,所以给出以下结论: Chrome Opera 的 Jav ...

  5. Django(四) ORM 外键操作及初识Ajax

    一.内容回顾 1.Django请求的生命周期: ​ 路由系统 -> 视图函数(获取模板+数据 -> 渲染) -> 字符串返回给用户 2.路由系统: /index/ #-> 函数 ...

  6. position: fixed; ios 无法滑动解决

    添加以下代码搞定 -webkit-overflow-scrolling: touch; overflow-y: scroll;

  7. let const var的区别与作用

    今天第一次遇到const定义的变量,查阅了相关资料整理了这篇文章.主要内容是:js中三种定义变量的方式const, var, let的区别. 1.const定义的变量不可以修改,而且必须初始化. 1 ...

  8. OpenJudge-bailian 3454 秦腾与教学评估

    http://bailian.openjudge.cn/practice/3454?lang=en_US 题目 在秦腾进入北京大学学习的第一个学期,就不幸遇到了前所未有的教学评估.在教学评估期间,同学 ...

  9. [CF 1043F] Make It One

    Description 给定 \(n\) 个正整数 \(a_i\),最少选出多少个 \(a_i\) 使得他们 \(gcd\) 为 \(1\)?\(n,a_i\le 3\times 10^5\). So ...

  10. python 向量化

    study from : https://www.jianshu.com/p/ad8933dd6407