努力挣扎的生活
yangfk
2021-12-22

证书签发环境CFSSL

//

# 配置CFSSL环境

192.168.14.200

# 下载cfssl命令,签发证书


#下载
wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -O ./cfssl
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -O ./cfssl-json
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -O ./cfssl-certinfo


chmod +x ./cfssl*
mv ./cfssl* /usr/local/bin
1
2
3
4
5
6
7
8
9
  • 签发根证书

mkdir /opt/certs && cd /opt/certs && vi ca-csr.json

{
    "CN": "Kubernetes",
    "hosts": [	
    ],
    "key": {			
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "ST": "beijing",
            "L": "beijing",
            "O": "od",
            "OU": "ops"
        }
    ],
    "ca": {
        "expiry": "175200h"
    }
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
参数 说明
CN 机构名称,浏览器使用该字段验证网站是否合法,一般写的是域名,非常重要,浏览器使用该字段验证网站是否合法
C C,国家
ST ST 州,省
L L 地区 城市
O O 组织名称,公司名称
OU OU 组织单位名称,公司部门
expiry expiry 过期时间,任何证书都有过期时间.20年
  • 签发承载式证书

cfssl gencert -initca ca-csr.json | cfssl-json -bare ca

certs1.png

  • cfssl-certinfo

  • 查看证书pem信息

cfssl-certinfo -cert ca.pem

cfssl-certinfo -domain github.com

记录

cat kubeconfig 获取数据

echo '其中数据段' |base64 -d > a.pem

cfssl-certinfo -cert a.pem
1
2
3
4
5

# 签发nginx证书(笔记)

# 签发单个172.16.27.135证书

mkdir json

cat >json/ca-csr.json<<EOF
{
    "CN": "172.16.27.135",
    "hosts": ["172.16.27.135"],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "Shanghai",
            "ST": "Shanghai"
        }
    ]
}
EOF

cat >json/ca-config.json<<EOF
{
    "signing": {
        "default": {
            "expiry": "8760h"
        },
        "profiles": {
            "www": {
                "expiry": "167600h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "server auth"
                ]
            }
        }
    }
}
EOF
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
  • 下发证书
#签发ca证书链
cfssl gencert -initca json/ca-csr.json | cfssl-json -bare ca

#
cfssl gencert   -ca=ca.pem   -ca-key=ca-key.pem   -config=json/ca-config.json   -profile=www   json/ca-csr.json | cfssl-json -bare www
1
2
3
4
5
6

# 个人存储下载地址。。。

点击,获取下面下载资源

cfssl
cfssl-certinfo
cfssl-json
1
2
3
4
//
如果此文章对您有帮助,点击 -->> 请博主喝咖啡 (opens new window)
上次更新: 2025/03/28, 13:42:54
私有仓库harbor部署
一步步部署k8s组件(上)

一步步部署k8s组件(上)

最近更新
01
Linux Polkit 权限提升漏洞(CVE-2021-4034)
 03-28
02
postgreSQL维护
 03-17
03
trivy系统漏洞扫描
 02-25
更多文章>
Theme by Vdoing | Copyright © 2019-2025 yangfk | 湘ICP备2021014415号-1
×
//