首页 > 其他分享 >cfssl 自签证书

cfssl 自签证书

时间:2023-07-05 15:01:21浏览次数:59  
标签:amd64 ca json pem cfssl linux 签证

cfssl

1**.1 准备cfssl证书生成工具**

cfssl是一个开源的证书管理工具,使用json文件生成证书,相比openssl更方便使用。

找任意一台服务器操作,这里用Master节点。

wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64

wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64

wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64

chmod +x cfssl_linux-amd64 cfssljson_linux-amd64 cfssl-certinfo_linux-amd64

mv cfssl_linux-amd64 /usr/local/bin/cfssl

mv cfssljson_linux-amd64 /usr/local/bin/cfssljson

mv cfssl-certinfo_linux-amd64 /usr/bin/cfssl-certinfo

2 生成Etcd证书

1. 自签证书颁发机构(CA)

创建工作目录:

mkdir -p ~/TLS/{etcd,k8s}

cd ~/TLS/etcd

自签CA:

cat > ca-config.json << EOF
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "www": {
         "expiry": "87600h",
         "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ]
      }
    }
  }
}
EOF

cat > ca-csr.json << EOF
{
    "CN": "antiy",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "Beijing",
            "ST": "Beijing"
        }
    ]
}
EOF

生成证书:

cfssl gencert -initca ca-csr.json | cfssljson -bare ca -

会生成ca.pem和ca-key.pem文件。

2. 使用自CA签发Etcd HTTPS证书

创建证书申请文件:

cat > server-csr.json << EOF
{
    "CN": "antiy",
    "hosts": [
    "10.250.145.194",
		"navigation.antiy.cn"
    ],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "BeiJing",
            "ST": "BeiJing"
        }
    ]
}
EOF

注:上述文件hosts字段中IP为所有etcd节点的集群内部通信IP,一个都不能少!为了方便后期扩容可以多写几个预留的IP。

生成证书:

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=www server-csr.json | cfssljson -bare server

会生成server.pem和server-key.pem文件。

标签:amd64,ca,json,pem,cfssl,linux,签证
From: https://www.cnblogs.com/sjip008/p/17528519.html

相关文章

  • Elasticsearch自签证书
    ****如果方式适合安装时没有配置及证书相关配置,而安装后进行的证书自签一、自签证书1、进入工作目录进入容器,bin目录下有生成证书的脚本,路径下文件展示如下(我这里是以docker容器部署的模式演示的)[root@363474ada611elasticsearch]#llbin/total19604-rwxr-xr-x.1......
  • .NET 6学习笔记(8)生成自签证书
    上一篇我们通过导出IISExpress的自签证书,供ASP.NETCore程序启用HTTPS。本篇我们讨论如何生成自签证书。自签证书的生成,有多种方式。比如OpenSSL或PowerShell都可以通过命令生成证书。对于.NET程序,也有System.Security.Cryptography.X509Certificates命名空间下,对应的C#类来实现......
  • k8s自签证书过期x509: certificate has expired or is not yet valid报错
    问题表现使用kubeletgetnode后报错,x509:certificatehasexpiredorisnotyetvalid,提示证书过期。[root@master~]#kubectlgetnodeUnabletoconnecttothe......
  • cfssl命令详解
    CFSSL是CloudFlare开源的一款PKI/TLS工具。CFSSL包含一个命令行工具和一个用于签名,验证并且捆绑TLS证书的HTTPAPI服务。使用Go语言编写。CFSSL包括:一组用于生成......
  • cfssl生成链式自签名证书
    生成大纲总共生成三个证书,一个根证书,一个中间证书签发商,一个服务证书。为方便理解,根证书表示为ca0,中间证书表示为ca1,服务证书表示为server。在本文中,服务证书为生成给harb......
  • 生成自签证书
    #req创建和处理证书请求的工具,它还能建立自签名的证书,做RootCA用#-x509产生自签名的证书,而不是证书请求#-sha256sha256摘要算法#-nodes表示私钥不加密,若不带参......
  • 设置ubuntu信任自签证书(mitmproxy,charls,...)
    方法1:#转换格式sudoopensslx509-outformder-in~/Downloads/mitmproxy-ca-cert.pem-outmitmproxy-ca.crtsudocpmitmproxy-ca-cert/usr/share/ca-certifica......
  • Windows下创建OpenSSL自签证书及将Windows已有证书pfx文件转化成key、crt文件
    搬运来源: https://blog.csdn.net/snans/article/details/117424407一、在windows下生成OpenSSL自签证书1、准备编译好的OpenSSL下载地址:http://slproweb.com/products......
  • cfssl ca 证书有效期修改
    cfssl ca证书有效期修改​  作者刘畅时间2022-02-20  目录​​1准备cfssl证书生成工具 ​​​​2生成kube-apiserver证书(5年) ​​​​3生成kube-apiserver证书(10......

赞助商

阅读排行

网站主页关于我们联系我们网站地图

本网站内容转载自其他媒体,侵权联系[admin##ips99.com]。

Copyright © 2020-2023 IPS99 版权所有 IPS99