CFSSL製作ETCD證書

2021-09-02 18:48:13 字數 1451 閱讀 2856

找台centos7(10.3.8.234)來做ca製作自簽名證書。

2、生成證書

mkdir ssl

cd ssl

生成預設的配置檔案和證書簽名請求檔案

cfssl print-defaults config > ca-config.json

cfssl print-defaults csr > ca-csr.json

修改ca配置檔案

[root@cobbler ssl]# cat ca-config.json

,

"profiles": ,

"client": ,

"etcd": }}

}

修改ca請求檔案

[root@cobbler ssl]# cat ca-csr.json

,

"names": [

]}

生成ca證書

[root@cobbler ssl]# cfssl gencert -initca ca-csr.json | cfssljson -bare ca
該命令會在當前目錄下生成ca.csr、ca-key.pem、ca.pem三個檔案。

etcd證書和私鑰

建立etcd證書簽名請求etcd-csr.json:

,

"names": [

]}

hosts中三個ip即是三個etcd節點,因為共用證書,所以寫一起了。

生成etcd證書和私鑰:

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=etcd etcd-csr.json | cfssljson -bare etcd
生成etcd.pem etcd-key.pem,三個節點共用此證書。

附:數字證書中主題(subject)中字段的含義

一般的數字證書產品的主題通常含有如下字段:

公用名稱 (common name) 簡稱:cn 字段,對於 ssl 證書,一般為**網域名稱;而對於**簽名證書則為申請單位名稱;而對於客戶端證書則為證書申請者的姓名;

組織名稱,公司名稱(organization name) 簡稱:o 字段,對於 ssl 證書,一般為**網域名稱;而對於**簽名證書則為申請單位名稱;而對於客戶端單位證書則為證書申請者所在單位名稱;

組織單位名稱,公司部門(organization unit name) 簡稱:ou欄位

證書申請單位所在地

所在城市 (locality) 簡稱:l 字段

所在省份 (state/provice) 簡稱:s 字段,state:州,省

所在國家 (country) 簡稱:c 字段,只能是國家字母縮寫,如中國:cn

cfssl自簽證書

安裝cfssl 7 200 curl s l o usr bin cfssl 7 200 curl s l o usr bin cfssljson 7 200 curl s l o usr bin cfssl certinfo 7 200 chmod x usr bin cfssl 2.2 配置 建...

kubeadm證書 etcd證書過期處理

今天突然測試環境的kubernetes 持續整合 持續發布出了問題了,然後上測試環境伺服器排查,發現kubectl指令執行出現問題,unable to connect to the server x509 certificate has expired or is not yet valid然後翻譯...

tls證書製作

安裝cfssl wget wget 生成證書 利用json生成證書 檢視證書資訊的工具 修改許可權 chmod x cfssl linux amd64 cfssljson linux amd64 cfssl certinfo linux amd64 移動檔案 mv cfssl linux amd64...