這篇文章主要介紹“Kubernetes證書簽發(fā)流程是什么”的相關(guān)知識(shí)，小編通過(guò)實(shí)際案例向大家展示操作過(guò)程，操作方法簡(jiǎn)單快捷，實(shí)用性強(qiáng)，希望這篇“Kubernetes證書簽發(fā)流程是什么”文章能幫助大家解決問題。

為臨高等地區(qū)用戶提供了全套網(wǎng)頁(yè)設(shè)計(jì)制作服務(wù)，及臨高網(wǎng)站建設(shè)行業(yè)解決方案。主營(yíng)業(yè)務(wù)為成都網(wǎng)站建設(shè)、網(wǎng)站設(shè)計(jì)、臨高網(wǎng)站設(shè)計(jì)，以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專業(yè)、用心的態(tài)度為用戶提供真誠(chéng)的服務(wù)。我們深信只要達(dá)到每一位用戶的要求，就會(huì)得到認(rèn)可，從而選擇與我們長(zhǎng)期合作。這樣，我們也可以走得更遠(yuǎn)！

對(duì)于網(wǎng)站類的應(yīng)用，網(wǎng)站管理員需要向權(quán)威證書簽發(fā)機(jī)構(gòu)（CA）申請(qǐng)證書，這通常需要花費(fèi)一定的費(fèi)用，也有非營(yíng)利的證書簽發(fā)機(jī)構(gòu)，比如”Let's Encrypt“可以為用戶免費(fèi)簽發(fā)證書。但對(duì)于Kubernetes這類應(yīng)用來(lái)講，它通常部署在企業(yè)內(nèi)部，其管理面組件不需要暴露到公網(wǎng)，所以就不需要向外部的證書簽發(fā)機(jī)構(gòu)申請(qǐng)證書，系統(tǒng)管理員就可以自已簽發(fā)證書供內(nèi)部使用。

本節(jié)我們使用簡(jiǎn)單的例子，介紹一下如何使用openssl簽發(fā)證書，側(cè)重介紹簽發(fā)證書流程，具體證書配置還需要管理員根據(jù)實(shí)際情況填寫。

以kube-apiserver為例，它的啟動(dòng)參數(shù)有3處需要配置證書：

--client-ca-file=/yourdirectory/ca.crt
--tls-cert-file=/yourdirectory/server.crt
--tls-private-key-file=/yourdirectory/server.key

其中ca.crt即CA的證書，通常Kubernetes各個(gè)組件都配置相同的CA證書，server.crt即kube-apiserver的證書，它將在與客戶端建立連接時(shí)發(fā)送給客戶端，由客戶端進(jìn)行驗(yàn)證，server.key即kube-apiserver的私鑰，它不會(huì)發(fā)送給客戶端，僅用于解密客戶端發(fā)送的數(shù)據(jù)。

為了便于理解，我們假設(shè)有兩位管理員參與證書簽發(fā)流程，一位CA管理員負(fù)責(zé)管理CA的憑證并為他人提供簽發(fā)證書的服務(wù)，一位管理員負(fù)責(zé)為kube-apiserver申請(qǐng)證書。

生成CA憑證

CA憑證包括一個(gè)私鑰和證書，私鑰由CA機(jī)構(gòu)保存，不會(huì)對(duì)外公開，證書則是對(duì)外公開的。生成證書前面要先為CA機(jī)構(gòu)創(chuàng)建一個(gè)私鑰。

生成CA私鑰

使用openssl genrsa 命令便可以生成一個(gè)私鑰：

# openssl genrsa -out ca.key 2048
Generating RSA private key, 2048 bit long modulus
.....................................................................+++
........................................+++
e is 65537 (0x10001)

生成的私鑰存在ca.key文件中，可以使用cat命令查看：

# ls
ca.key
# cat ca.key 
-----BEGIN RSA PRIVATE KEY-----
MIIEog...// 省略若干內(nèi)容
-----END RSA PRIVATE KEY-----

生成CA證書

接著使用openssl req命令生成一個(gè)證書：

# openssl req -x509 -new -nodes -key ca.key -subj "/CN=ca" -days 10000 -out ca.crt

生成的證書存在ca.crt文件中，可以使用openssl x509命令查看：

# openssl x509 -in ca.crt -text -noout
Certificate:
    Data:
        Version: 3 (0x2)
...

到此為止，CA管理員已經(jīng)擁有了一個(gè)私鑰和證書，可以為kube-apiserver簽發(fā)證書了。

生成kube-apiserver憑證

要申請(qǐng)證書，kube-apiserver管理員需要準(zhǔn)備一個(gè)證書簽發(fā)請(qǐng)求（申請(qǐng)書），為此，kube-apiserver管理員需要先為kube-apiserver生成一個(gè)私鑰。

生成kube-apiserver私鑰

為kube-apiserver生成私鑰與前面為CA生成私鑰的方法完全一致，同樣可以使用openssl genrsa完成：

# openssl genrsa -out server.key 2048

生成的私鑰存放于server.key中。

生成kube-apiserver證書請(qǐng)求

接著kube-apiserver管理員需要使用kube-apiserver的私鑰生成一個(gè)證書簽發(fā)請(qǐng)求，才可以提交給CA管理員進(jìn)行簽發(fā)。

使用openssl req -new命令可以創(chuàng)建一個(gè)證書請(qǐng)求文件：

# openssl req -new -key server.key -out server.csr

創(chuàng)建證書請(qǐng)求文件需要提供私鑰，然后根據(jù)命令行提示輸入相關(guān)信息，生成的請(qǐng)求文件存放于server.csr文件中。

生成kube-apiserver證書

當(dāng)kube-apiserver管理員創(chuàng)建好證書請(qǐng)求文件后，即可提次給CA管理員進(jìn)行證書簽發(fā)了。CA管理員在簽發(fā)時(shí) 需要使用CA的私鑰和證書：

# openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 10000 
Signature ok

這樣簽發(fā)完的證書就會(huì)保存在server.crt文件中。

證書文件后綴

關(guān)于證書及私鑰文件，常常會(huì)使用約定俗成的文件名后綴。

• *.key： 往往表示私鑰文件；

• *.crt： certificate的縮寫，往往表示證書文件；

此外，*.csr文件為證書簽名請(qǐng)求文件，“Certificate Signing Request”的縮寫，該文件內(nèi)含公鑰及公鑰所屬者信息，用于向CA機(jī)構(gòu)申請(qǐng)簽名。

關(guān)于“Kubernetes證書簽發(fā)流程是什么”的內(nèi)容就介紹到這里了，感謝大家的閱讀。如果想了解更多行業(yè)相關(guān)的知識(shí)，可以關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，小編每天都會(huì)為大家更新不同的知識(shí)點(diǎn)。

網(wǎng)站標(biāo)題：Kubernetes證書簽發(fā)流程是什么
鏈接地址：http://www.rwnh.cn/article44/jsdihe.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站排名、營(yíng)銷型網(wǎng)站建設(shè)、移動(dòng)網(wǎng)站建設(shè)、網(wǎng)站維護(hù)、App開發(fā)、域名注冊(cè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)