证书签发环境CFSSL

# 配置CFSSL环境

192.168.14.200

# 下载cfssl命令,签发证书


#下载
wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -O ./cfssl
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -O ./cfssl-json
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -O ./cfssl-certinfo


chmod +x ./cfssl*
mv ./cfssl* /usr/local/bin

1
2
3
4
5
6
7
8
9

签发根证书

mkdir /opt/certs && cd /opt/certs && vi ca-csr.json

{
    "CN": "Kubernetes",
    "hosts": [	
    ],
    "key": {			
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "ST": "beijing",
            "L": "beijing",
            "O": "od",
            "OU": "ops"
        }
    ],
    "ca": {
        "expiry": "175200h"
    }
}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

参数	说明
CN	机构名称，浏览器使用该字段验证网站是否合法，一般写的是域名，非常重要，浏览器使用该字段验证网站是否合法
C	C，国家
ST	ST 州，省
L	L 地区城市
O	O 组织名称，公司名称
OU	OU 组织单位名称，公司部门
expiry	expiry 过期时间，任何证书都有过期时间.20年

签发承载式证书

cfssl gencert -initca ca-csr.json | cfssl-json -bare ca

cfssl-certinfo
查看证书pem信息

cfssl-certinfo -cert ca.pem

cfssl-certinfo -domain github.com

记录

cat kubeconfig 获取数据

echo '其中数据段' |base64 -d > a.pem

cfssl-certinfo -cert a.pem

1
2
3
4
5

# 签发nginx证书（笔记）

# 签发单个172.16.27.135证书

mkdir json

cat >json/ca-csr.json<<EOF
{
    "CN": "172.16.27.135",
    "hosts": ["172.16.27.135"],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "Shanghai",
            "ST": "Shanghai"
        }
    ]
}
EOF

cat >json/ca-config.json<<EOF
{
    "signing": {
        "default": {
            "expiry": "8760h"
        },
        "profiles": {
            "www": {
                "expiry": "87600h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "server auth"
                ]
            }
        }
    }
}
EOF

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39

下发证书

#签发ca证书链
cfssl gencert -initca json/ca-csr.json | cfssl-json -bare ca

#
cfssl gencert   -ca=ca.pem   -ca-key=ca-key.pem   -config=json/ca-config.json   -profile=www   json/ca-csr.json | cfssl-json -bare www

1
2
3
4
5
6

# 个人存储下载地址。。。

点击，获取下面下载资源

cfssl
cfssl-certinfo
cfssl-json

1
2
3
4

如果此文章对您有帮助，点击 -->> 请博主喝咖啡

上次更新: 2024/03/13, 15:03:45

← 私有仓库harbor部署一步步部署k8s组件(上)→