站長資訊網CFSSL是CloudFlare開源的一款PKI/TLS工具。 CFSSL 包含一個命令行工具 和一個用于 簽名,驗證并且捆綁TLS證書的 HTTP API 服務。 使用Go語言編寫。
Github 地址: https://github.com/cloudflare/cfssl
官網地址: https://pkg.cfssl.org/
參考地址:http://m.0106606.com/Linux/2018-11/155393.htm
curl -s -L -o /bin/cfssl https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
curl -s -L -o /bin/cfssljson https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
curl -s -L -o /bin/cfssl-certinfo https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
chmod +x /bin/cfssl*
集群相關證書類型
client certificate: 用于服務端認證客戶端,例如etcdctl、etcd proxy、fleetctl、docker客戶端
server certificate: 服務端使用,客戶端以此驗證服務端身份,例如docker服務端、kube-apiserver
peer certificate: 雙向證書,用于etcd集群成員間通信
根據認證對象可以將證書分成三類:服務器證書server cert,客戶端證書client cert,對等證書peer cert(表示既是server cert又是client cert),在kubernetes 集群中需要的證書種類如下:
- etcd 節點需要標識自己服務的server cert,也需要client cert與etcd集群其他節點交互,當然可以分別指定2個證書,也可以使用一個對等證書
- master 節點需要標識 apiserver服務的server cert,也需要client cert連接etcd集群,這里也使用一個對等證書
- kubectl calico kube-proxy 只需要client cert,因此證書請求中 hosts 字段可以為空
- kubelet證書比較特殊,不是手動生成,它由node節點TLS BootStrap向apiserver請求,由master節點的controller-manager 自動簽發,包含一個client cert 和一個server cert
創建CA配置文件
配置證書生成策略,規定CA可以頒發那種類型的證書
vim /opt/ssl/k8sca/ca-config.json
{
“signing”: {
“default”: {
“expiry”: “87600h”
},
“profiles”: {
“kubernetes”: {
“usages”: [
“signing”,
“key encipherment”,
“server auth”,
“client auth”
],
“expiry”: “87600h”
}
}
}
}
創建CA證書簽名請求
vim /opt/ssl/k8sca/ ca-csr.json
{
“CN”: “kubernetes”,
“key”: {
“algo”: “rsa”,
“size”: 2048
},
“names”: [
{
“C”: “CN”,
“L”: “BeiJing”,
“O”: “Ctyun”,
“ST”: “BeiJing”,
“OU”: “ops”
} ]
}
生成CA和私鑰
生成CA所必需的文件ca-key.pem(私鑰)和ca.pem(證書),還會生成ca.csr(證書簽名請求),用于交叉簽名或重新簽名。
$ cd /opt/ssl/k8sca/
$ cfssl gencert -initca ca-csr.json | cfssljson -bare ca
$ ls
ca-config.json ca.csr ca-csr.json ca-key.pem ca.pem
