MINIO配置TLS访问

服务端证书生成

openssl genrsa -out ca.key 2048
openssl req -x509 -new -nodes -key ca.key -subj "/CN=*.*.*.*" -days 365 -out ca.crt

openssl genrsa -out server.key 2048
openssl req -new -nodes -key server.key -subj "/CN=*.*.*.*" -out server.csr

# 服务端证书生成时，需要设置subjectAltName = IP:172.20.20.203
echo subjectAltName = IP:172.20.20.203 > extfile.cnf
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -extfile extfile.cnf -out server.crt -days 3650

从key导出pem公钥和私钥：

私钥：openssl rsa -in demo.key -out private.pem
公钥：openssl rsa -in demo.key -pubout -out public.pem

客户端连接配置

endpoint := "192.168.77.114:9091"
	user := "minioadmin"
	pass := "minioadmin"

	ca := `-----BEGIN CERTIFICATE-----
xxx
-----END CERTIFICATE-----`
	k := `-----BEGIN RSA PRIVATE KEY-----
xxx
-----END RSA PRIVATE KEY-----`
	c := `-----BEGIN CERTIFICATE-----
xxx
-----END CERTIFICATE-----`

	pool := x509.NewCertPool()
	pool.AppendCertsFromPEM([]byte(ca))

	var cliCrt tls.Certificate // 具体的证书加载对象
	cliCrt, err := tls.X509KeyPair([]byte(c), []byte(k))
	if err != nil {
		log.Fatalln(err)
	}

	minioClient, err := minio.New(endpoint, &minio.Options{
		Creds:  credentials.NewStaticV4(user, pass, ""),
		Secure: true,
		Transport: &http.Transport{
			TLSClientConfig: &tls.Config{
				RootCAs:      pool,
				Certificates: []tls.Certificate{cliCrt},
			},
		},
	})
	if err != nil {
		log.Fatal(err)
	}

	if err := minioClient.MakeBucket(context.Background(), "demo", minio.MakeBucketOptions{}); err != nil {
		log.Fatal(err)
	}

	fmt.Println(minioClient)


-----------------

3.10.2.创建私钥文件和自签名证书
# mkdir -p ${HOME}/.minio/certs
# cd ${HOME}/.minio/certs
# minio-server
mkdir -p /home/minio-user/.minio/certs/CAs
cd /home/minio-user/.minio/certs/CAs
# nginx-server
mkdir -p /usr/local/nginx/certs/CAs
cd /usr/local/nginx/certs/CAs

# 生成自签名证书, 参数说明
# genrsa 生成rsa私钥文件
# -out 输出文件
# 2048 密钥长度，默认512
# req 证书请求的子命令
# -x509 输出证书
# -new 生成证书请求
# –nodes 表示私钥不加密，若不带参数将提示输入密码
# -key 私钥文件
# -subj 输入证书拥有者信息
# -days 证书有效时间
# -subj 参数 多个参数示例：/C=CN/ST=liaoning/L=dalian/O=minio/CN=minio1.mnmd.net
# C Country, 单位所在国家，为两位数的国家缩写，如： CN 就是中国
# ST State/Province, 单位所在州或省
# L Locality, 单位所在城市 / 或县区
# O Organization, 此网站的单位名称
# OU Organization Unit, 下属部门名称;也常常用于显示其他证书相关信息，如证书类型，证书产品名称或身份验证类型或验证内容等
# CN Common Name, 网站的域名

# 生成证书前可以先修改配置文件（选），参考 3.10.1

# nginx 代表的是客户
# minio1/minio2/minio3/minio4 代表的是服务器
# 1.生成CA证书（认证中心）
# 私钥
openssl genrsa -out ca.key 2048
# 公钥
openssl req -x509 -new -nodes -key ca.key -subj "/CN=minio.nginx.mnmd.net" -out ca.crt -days 3650

# 2.生成服务器证书请求
# 私钥
openssl genrsa -out server.key 2048
# 公钥
openssl req -new -nodes -key server.key -subj "/CN=minio.nginx.mnmd.net" -out server.csr

# 3.利用CA证书签名生成服务器证书
echo subjectAltName = DNS:minio*.mnmd.net > extfile.cnf
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -extfile extfile.cnf -out server.crt -days 3650

# minio服务中是服务器证书
# 将生成的 `private.key` 和 `public.crt` 放到 `/usr/local/nginx/certs/CAs` 和 `/home/minio-user/.minio/certs/CAs` 路径下

# 授予minio-user用户组
chown -R minio-user:minio-user /home/minio-user/.minio/certs/CAs

# 重新启动nginx
/usr/local/nginx/nginx -s quit
/usr/local/nginx/nginx -c /usr/local/nginx/minio-cluster.conf

# 重新启动minio
systemctl restart minio.service

3.10.3.查看证书是否有效
openssl x509 -in /usr/local/nginx/certs/CAs/public.crt -noout -text
openssl x509 -in /home/minio-user/.minio/certs/CAs/public.crt -noout -text
————————————————
版权声明：本文为CSDN博主「琴 韵」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/u012549626/article/details/128067218