⒈安装CFSSL

wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64

wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64

https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64

  ①生成证书

  ②利用Json生成证书

  ③查看证书信息的工具

⒉修改权限

chmod +x cfssl_linux-amd64 cfssljson_linux-amd64 cfssl-certinfo_linux-amd64

⒊移动文件

mv cfssl_linux-amd64 /usr/local/bin/cfssl

mv cfssljson_linux-amd64 /usr/local/bin/cfssljson

mv cfssl-certinfo_linux-amd64 /usr/local/bin/cfssl-certinfo

⒋验证指令

cfssl --help

  ①print-defaults  输出生成证书的模板

*生成一个配置模板

cfssl print-defaults config > config.json

  默认生成的模板文件如下:

 {

     "signing": {  //签名

         "default": {

             "expiry": "168h"  //默认过期时间

         },

         "profiles": {

             "www": {

                 "expiry": "8760h",

                 "usages": [

                     "signing",

                     "key encipherment",

                     "server auth"

                 ]

             },

             "client": {

                 "expiry": "8760h",

                 "usages": [

                     "signing",

                     "key encipherment",

                     "client auth"

                 ]

             }

         }

     }

 }

*生成证书信息文件

cfssl print-defaults csr > csr.json

默认生成的模板文件如下:

 {

     "CN": "example.net",  //标识具体的域

     "hosts": [  //使用该证书的域名

         "example.net",

         "www.example.net"

     ],

     "key": {  //加密方式,一般RSA 2048

         "algo": "ecdsa",

         "size": 256

     },

     "names": [  //证书包含的信息,例如国家、地区等

         {

             "C": "US",

             "L": "CA",

             "ST": "San Francisco"

         }

     ]

 }

⒌生成配置模板及证书信息

 cat > ca-config.json <<EOF

 {

     "signing":{

         "default":{

             "expiry":"87600h"

         },

         "profiles":{

             "kubernetes":{

                 "expiry":"87600h",

                 "usages":[

                     "signing",

                     "key encipherment",

                     "server auth",

                     "client auth"

                 ]

             }

         }

     }

 }

 EOF

 cat > ca-csr.json <<EOF

 {

     "CN":"kubernetes",

     "key":{

         "algo":"rsa",

         "size":

     },

     "names":[

         {

             "C":"CN",

             "L":"Hebei",

             "ST":"Zhangjiakou",

             "O":"k8s",

             "OU":"System"

         }

     ]

 }

 EOF

⒍使用证书信息文件生成证书

 cfssl gencert -initca ca-csr.json | cfssljson -bare ca -

⒎生成服务端的配置模板及证书信息

 cat > server-csr.json << EOF

 {

     "CN":"kubernetes",

     "hosts":[

         "127.0.0.1",

         "192.168.0.211",

         "192.168.0.212",

         "192.168.0.213",

         "10.10.10.1",

         "kubernetes",

         "kubernetes.default",

         "kubernetes.default.svc",

         "kubernetes.default.svc.cluster",

         "kubernetes.default.svc.cluste.local"

     ],

     "key":{

         "algo":"rsa",

         "size":

     },

     "names":[

         {

             "C":"CN",

             "L":"Hebei",

             "ST":"Zhangjiakou",

             "O":"k8s",

             "OU":"System"

         }

     ]

 }

 EOF

⒏使用证书信息生成证书

 cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes server-csr.json | cfssljson -bare server

⒐集群管理员通过该证书访问集群

 cat > admin-csr.json <<EOF

 {

     "CN":"admin",

     "hosts":[],

     "key":{

         "algo":"rsa",

         "size":

     },

     "names":[

         {

             "C":"CN",

             "L":"Hebei",

             "ST":"Zhangjiakou",

             "O":"system:masters",

             "OU":"System"

         }

     ]

 }

 EOF

⒑生成证书

 cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes admin-csr.json | cfssljson -bare admin

 cat > kube-proxy-csr.json <<EOF

 {

     "CN":"system:kube-proxy",

     "hosts":[],

     "key":{

         "algo":"rsa",

         "size":

     },

     "names":[

         {

             "C":"CN",

             "L":"Hebei",

             "ST":"Zhangjiakou",

             "O":"k8s",

             "OU":"System"

         }

     ]

 }

 EOF

⒓生成证书

 cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kube-proxy-csr.json | cfssljson -bare kube-proxy

⒔只保留证书文件,删除多余的文件

 ls |grep -v pem |xargs -i rm {}

Linux使用CFSSL自签TLS证书的更多相关文章

  1. Kubernetes(k8s)集群部署(k8s企业级Docker容器集群管理)系列之自签TLS证书及Etcd集群部署(二)

    0.前言 整体架构目录:ASP.NET Core分布式项目实战-目录 k8s架构目录:Kubernetes(k8s)集群部署(k8s企业级Docker容器集群管理)系列目录 一.服务器设置 1.把每一 ...

  2. kubernetes容器集群自签TLS证书

    集群部署 1.环境规划 2.安装docker 3.自签TLS证书 4.部署Flannel网络 5.部署Etcd集群 6.创建Node节点kubeconfig文件 7.获取K8S二进制包 8.运行Mas ...

  3. Kubernetes 集群部署(1) -- 自签 TLS 证书

    集群功能各模块功能描述: Master节点:主要由四个模块组成,APIServer,schedule, controller-manager, etcd APIServer: APIServer负责对 ...

  4. kubernetes(K8S)创建自签TLS证书

    TLS证书用于进行通信使用,组件需要证书关系如下: 组件 需要使用的证书 etcd ca.pem server.pem server-key.pem flannel ca.pem server.pem ...

  5. k8s自签TLS证书

    自签TLS证书 TLS证书用于进行通信使用,k8s组件需要的证书有: 第一步:安装证书生成工具cfssl 在这之前需要先建立一个目录来存放安装的工具mkdir ssl,后面将安装的工具移动到各自的目录 ...

  6. 基于TLS证书手动部署kubernetes集群(上)

    一.简介 Kubernetes是Google在2014年6月开源的一个容器集群管理系统,使用Go语言开发,Kubernetes也叫K8S. K8S是Google内部一个叫Borg的容器集群管理系统衍生 ...

  7. (转)基于TLS证书手动部署kubernetes集群(上)

    转:https://www.cnblogs.com/wdliu/archive/2018/06/06/9147346.html 一.简介 Kubernetes是Google在2014年6月开源的一个容 ...

  8. 基于TLS证书手动部署kubernetes集群

      一.简介 Kubernetes是Google在2014年6月开源的一个容器集群管理系统,使用Go语言开发,Kubernetes也叫K8S. K8S是Google内部一个叫Borg的容器集群管理系统 ...

  9. 使用TLS证书保护Docker

    使用TLS证书保护Docker 当我们使用远程调用docker时,未设置TLS的docker,将可以被任何人调用,这是极其危险的. 在阿里云上跑的docker,这次就被不怀好意的人扫描到了默认端口,2 ...

随机推荐

  1. QinQ 简介

    QinQ 是一种二层隧道协议,通过将用户的私网报文封装上外层 VLAN Tag,使其携带两层 VLAN Tag 穿越公网,从而为用户提供了一种比较简单的二层VPN隧道技术.QinQ 的实现方式可分为两 ...

  2. Robust PCA via Outlier Pursuit

    目录 引 主要结果 定理1 定理2 理论证明 构造Oracle Problem 算法 Xu H, Caramanis C, Sanghavi S, et al. Robust PCA via Outl ...

  3. SQL操作符、通配符等

    一.通配符 常用模糊查询:% SELECT * FROM TB_Name WHERE FIELD LIKE pattern   SELECT * FROM Persons WHERE name LIK ...

  4. c++ 套路多

    1. 浅拷贝带来的多次析构问题 参见:https://www.cnblogs.com/33debug/p/6657730.html 解决方案,深拷贝.强烈建议自定义拷贝构造函数为深拷贝,否则可能会给自 ...

  5. Docker 核心技术之数据管理

    Docker 数据卷简介 为什么用数据卷 宿主机无法直接访问容器中的文件 容器中的文件没有持久化,导致容器删除后,文件数据也随之消失 容器之间也无法直接访问互相的文件 为解决这些问题,docker加入 ...

  6. 【调试工具】tcpdump

    [tcpdump]https://linux.cn/article-10191-1.html

  7. B+树和B-树的区别

    https://www.jianshu.com/p/92d15df75027 这个网站好! https://www.cs.usfca.edu/~galles/visualization/BTree.h ...

  8. react native输入框定位在底部(虚拟键盘弹起)

    1.通过Keyboard获取键盘高度,改变定位的bottom 缺点:虚拟键盘完全弹起时,才会获取到键盘高度,定位稍有延迟,而且键盘收起时,定位会出现悬空状态,然后再回到底部 import React, ...

  9. Python——模块——fnmatch(文件名对比)

    一.模块作用 fnmatch 模块主要用于文件名的比较,使用 Unix shell 使用的 glob 样式模式. 二.简单匹配 fnmatch() 将单个文件名与模式进行比较并返回布尔值,来看它们是否 ...

  10. Linux下JNA 调用 so 库

    原文:https://blog.csdn.net/withiter/article/details/8077470 博文链接:https://i.cnblogs.com/EditPosts.aspx? ...