使用openssl手动为k8s集群签发证书
创建ca私钥和ca证书
1、生成ca私钥:生成一个 2048 位的 ca.key 文件
openssl genrsa -out ca.key 2048
2、基于ca私钥,生成根(root)证书:在 ca.key 文件的基础上,生成 ca.crt 文件
openssl req -x509 -new -nodes -key ca.key -subj “/CN=${MASTER_IP}” -days 10000 -out ca.crt
生成应用的私钥和csr
1、生成应用私钥:生成一个 2048 位的 server.key 文件:
openssl genrsa -out server.key 2048
2、基于应用私钥,创建一个用于生成证书签名请求(CSR)的配置文件。
openssl req -new -key server.key -out server.csr -config csr.conf
保存文件(例如:csr.conf)前,记得用真实值替换掉尖括号中的值(例如:<MASTER_IP>)。 注意:MASTER_CLUSTER_IP 就像前一小节所述,它的值是 API 服务器的服务集群 IP。 下面的例子假定你的默认 DNS 域名为 cluster.local。
csr.conf example:
[ req ]
default_bits = 2048
prompt = no
default_md = sha256
req_extensions = req_ext
distinguished_name = dn
[ dn ]
C = <country>
ST = <state>
L = <city>
O = <organization>
OU = <organization unit>
CN = <MASTER_IP>
[ req_ext ]
subjectAltName = @alt_names
[ alt_names ]
DNS.1 = kubernetes
DNS.2 = kubernetes.default
DNS.3 = kubernetes.default.svc
DNS.4 = kubernetes.default.svc.cluster
DNS.5 = kubernetes.default.svc.cluster.local
IP.1 = <MASTER_IP>
IP.2 = <MASTER_CLUSTER_IP>
[ v3_ext ]
authorityKeyIdentifier=keyid,issuer:always
basicConstraints=CA:FALSE
keyUsage=keyEncipherment,dataEncipherment
extendedKeyUsage=serverAuth,clientAuth
subjectAltName=@alt_names
使用ca私钥和ca证书为应用的csr签发应用的证书
基于 ca.key、ca.crt 和 server.csr 等三个文件生成服务端证书:
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key
-CAcreateserial -out server.crt -days 10000
-extensions v3_ext -extfile csr.conf -sha256
查看结果
查看证书签名请求:
openssl req -noout -text -in ./server.csr
查看证书:
openssl x509 -noout -text -in ./server.crt
使用
此时需要与apiserver通信的组件可以使用server.crt来验证自己的身份
各类文件格式
私钥文件通常以 .key 结尾,证书文件通常以 .crt 结尾,证书签名请求文件通常以 .csr 结尾。
不论什么后缀的文件,其实都是文本格式的文件。
证书文件的开头和结尾是这样子的:
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
私钥文件的开头和结尾是这样的:
-----BEGIN RSA PRIVATE KEY-----
...
-----END RSA PRIVATE KEY-----
证书签名请求文件的开头和结尾是这样的:
-----BEGIN CERTIFICATE REQUEST-----
...
-----END CERTIFICATE REQUEST-----
key,csr,crt文件的作用
key:私钥,openssl格式,通常是rsa算法
csr(Certificate Signing Request):证书请求文件,用于申请证书,含有公钥信息。在申请的时候,必须使用自己的私钥来签署申请,还可以设定一个密钥
crt:证书文件,是签署人用自己的 key 给你签署的凭证。可以自签署
为什么生成密钥的时候只有私钥,没有公钥
RSA密钥都是一对,可这里只生成了私钥,那公钥在哪呢?
实际上公钥是根据私钥生成的,由于RSA非对称特性,私钥算出公钥很容易,公钥算出私钥就很难。
生成公钥的指令为:
openssl rsa -in ca.key -pubout -out ca.pub
生成应用的csr的时候,为什么需要使用应用的私钥
其实csr里需要的是公钥,创建证书请求时需要提供私钥,这个私钥的作用是为了提供公钥
生成ca证书的时候,为什么需要使用ca私钥
其实生成ca.crt里需要的也是公钥,创建ca证书时需要提供私钥,这个私钥的作用是为了提供公钥
签发证书的时候,为什么要同时用到ca.key和ca.crt
使用CA的证书,这用来宣示此服务器证书是谁签的;
使用CA的私钥,这用来生成摘要保证签名内容不被篡改。
创建所需条件整理
-
1、创建证书需要:私钥(其实为了提取公钥)
-
2、创建csr需要:私钥(其实为了提取公钥)+ csr请求配置文件
-
3、签署csr需要:csr + ca私钥 + ca证书
流程梳理
-
1、生成ca的私钥
-
2、利用ca的私钥(为了提取公钥)生成ca证书,证书包含了公钥信息和ca机构信息
-
3、生成server的私钥
-
4、利用server的私钥(为了提取公钥)生成server的csr,csr包含了server公钥信息和server的身份信息
-
5、使用server的csr,还有ca私钥,ca证书来生成server证书,其实签名只需要ca私钥就可以,假设ca证书是为了加入ca证书里的ca机构信息,才知道证书是谁签署的
证书自签署和认证原理
证书自签署:
我们手动生成ca私钥,然后使用ca私钥生成ca证书,证书里包含了从私钥中提取出来的公钥信息和ca机构的信息。再手动生成应用私钥,然后使用应用私钥和csr配置文件生成csr,csr里包含了应用的公钥信息和应用的身份信息。使用ca私钥和ca证书来签署csr,从而得到了server证书,里面包含了应用的公钥和身份信息,以及对应用的公钥和身份信息进行hash之后,使用ca私钥对hash的值进行签名后的一个签名值。
认证原理:
当需要验证对方身份的时候,拿到对方的证书,然后对签名值使用ca的公钥进行解密,得到加密前的内容,也就是对应用的公钥和身份信息进行hash后的hash值,此时再对证书里的应用的公钥和身份信息使用相同的hash算法,得到一个hash值,与前面那一步解密出来的hash值进行比较,如果一致,就证明身份可靠
签名和认证原理图:
![[MQ] 交换机与队列的介绍](https://img-blog.csdnimg.cn/4023080c6f30409caae46c901368492e.png)
![[Spring Cloud] Open Feign 使用](https://img-blog.csdnimg.cn/af3cb2d4a9f9482296ecc118eca5aba6.png)
![[附源码]java毕业设计社区医院管理系统](https://img-blog.csdnimg.cn/14ec13cdbb8a43aa8a914f0139152eba.png)
![[笔记]vue从入门到入坟《五》vue-cli构建vue webpack项目](https://img-blog.csdnimg.cn/7a5c1bff408a4cb7b71d28718095cd9a.png)
图,图的遍历,最小生成树,最短路径算法详解](https://img-blog.csdnimg.cn/img_convert/80156463a3a4d0bcc5b1f36bf81807d9.png)
