一 k8s证书介绍
证书原理简介:http://www.ruanyifeng.com/blog/2011/08/what_is_a_digital_signature.html
k8s证书:https://www.cnblogs.com/linhaifeng/articles/15167217.html
证书原理简介
服务端:制作一对秘钥,私钥和公钥,公钥发给所有的客户端
#1、客户端----发送数据给---》服务端:
如何保证客户端发往服务端的数据不被窃取呢???
客户端用公钥加密
服务端用私钥解密
#2、服务端---发送数据给---》客户端
如何保证发送的数据不被篡改呢???
服务端先将明文数据做hash校验,得到一个hash值称之为digest摘要
然后将hash值用私钥加密,得到的内容称之为数字签名,即signature
然后数字签名附在明文数据中发送给客户端
客户端收到后,用公钥解开,就得到了数字签名,然后用相同的hash算法计算明文数据,如果得到的值与数据签名一致,证明数据没有被篡改
#3、有人会将自己伪造成服务端,然后制作密钥对,将客户端的公钥替换成自己的,然后用自己的私钥加密数据发给客户端,为了防止这件事,怎么做呢???
(1)服务端需要把自己的公钥去CA中心这个权威机构认证一下,CA中心会用自己的私钥将服务端的公钥加密,得到的内容称之为数字证书Digital Certificate
(2)服务端发送数据会附上数字签名与CA中心发布的数字证书一起给客户端
(3)客户端会从CA中心中获取公钥来解密,从而拿到服务端的准确公钥,然后用准确的公钥来解密服务端数据。。。(浏览器基本都内置各大权威机构的CA公钥)
补充1:数字证书包含如下内容:
1.申请者公钥
2.申请者组织和个人信息
3.签发机构CA信息,有效时间,序列号等
4.以上信息的签名
补充2:根证书又名自签名证书,也就是自己给自己颁发的证书。CA(Certificate Authority)被称为证书授权中心,
k8s中的ca证书就是根证书。二 CA证书的创建及分发
先在manager管理节点创建好ca证书,然后分发给所有其他节点,以后其他节点就可以用该ca证书来为自己签发数字证书了
ca这个根证书可以为其他人签发的证书有服务端和客户端两种,服务端主要用于别人来访问自己,客户端则用于自己去访问别人
如下我们的ca-config.json中的server auth并且client auth,指的是我们的这个ca既可以签发服务端的证书、又可以签发客户端的证书
#1、在manager节点安装CFSSL
cd /usr/local/src
wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
chmod +x cfssl* # 增加执行权限
mv cfssl-certinfo_linux-amd64 /opt/kubernetes/bin/cfssl-certinfo
mv cfssljson_linux-amd64 /opt/kubernetes/bin/cfssljson
mv cfssl_linux-amd64 /opt/kubernetes/bin/cfssl
#2、把manager节点上的cfssl命令文件到所有其他节点上
#!/bin/bash
for i in 'master01' 'master02' 'master03' 'node01' 'node02' 'node03' 'manager'
do
scp /opt/kubernetes/bin/cfssl* root@$i:/opt/kubernetes/bin
done
#3、在manager节点上创建用来生成CA文件的JSON配置文件
cd /usr/local/src
mkdir ssl && cd ssl
cat > ca-config.json << EOF
{
"signing": {
"default": {
"expiry": "175200h"
},
"profiles": {
"kubernetes": {
"usages": [
"signing",
"key encipherment",
"server auth",
"client auth"
],
"expiry": "175200h"
}
}
}
}
EOF
==============》知识点《=============
ca-config.json:可以定义多个 profiles,分别指定不同的过期时间、使用场景等参数;后续在签名证书时使用某个 profile;此实例只有一个kubernetes模板。
signing:表示该证书可用于签名其它证书;生成的 ca.pem 证书中 CA=TRUE;
server auth:表示client可以用该 CA 对server提供的证书进行验证;
client auth:表示server可以用该CA对client提供的证书进行验证;
client certificate: 客户端使用,用于服务端认证客户端,例如etcdctl、etcd proxy、fleetctl、docker客户端。
server certificate: 服务端使用,客户端以此验证服务端身份,例如docker服务端、kube-apiserver。
peer certificate: 双向证书(server auth与client auth同时开启),用于etcd集群成员间通信(用这种就行了,省事,比如上面创建的kubernetes就属于这类)
也可以如下配置
{
"signing": {
"default": {
"expiry": "175200h"
},
"profiles": {
"server": {
"expiry": "175200h",
"usages": [
"signing",
"key encipherment",
"server auth"
]
},
"client": {
"expiry": "175200h",
"usages": [
"signing",
"key encipherment",
"client auth"
]
},
"peer": {
"expiry": "175200h",
"usages": [
"signing",
"key encipherment",
"server auth",
"client auth"
]
}
}
}
}
#4、在manager节点上创建用来生成 CA 证书签名请求(CSR)的 JSON 配置文件
cat > /usr/local/src/ssl/ca-csr.json << EOF
{
"CN": "kubernetes",
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"ST": "BeiJing",
"L": "BeiJing",
"O": "k8s",
"OU": "ops"
}
]
}
EOF
==============》知识点《=============
CN: Common Name,浏览器使用该字段验证网站是否合法,一般写的是域名。非常重要。浏览器使用该字段验证网站是否合法
C: Country, 国家
ST: State,州,省
L: Locality,地区,城市
O: Organization Name,组织名称,公司名称
OU: Organization Unit Name,组织单位名称,公司部门
#5、在manager节点上生成CA证书(ca.pem)和密钥(ca-key.pem)
cd /usr/local/src/ssl/
#生成证书和密钥,注意命令末尾不要有空格,会生成ca.csr,ca.pem,ca-key.pem
cfssl gencert -initca ca-csr.json | cfssljson -bare ca
其中ca-key.pem是ca的私钥,ca.csr是一个签署请求,ca.pem是CA证书,是后面kubernetes组件会用到的RootCA。
#6、把管理节点生成的证书分发到所有其他节点
#!/bin/bash
for i in 'master01' 'master02' 'master03' 'node01' 'node02' 'node03' 'manager'
do
scp ca.csr ca.pem ca-key.pem ca-config.json root@$i:/opt/kubernetes/ssl/
done
