首页 > 其他分享 >K3S TLS证书延长

K3S TLS证书延长

时间:2024-05-26 15:46:22浏览次数:30  
标签:TLS K3S k3s 证书 DAYS SIGNED EXPIRATION NEW

  • 新安装集群: 
  1. 根证书延长: 修改脚本: https://github.com/k3s-io/k3s/blob/master/contrib/util/generate-custom-ca-certs.sh 将 3700 改你期望的天数 (根证书) 并执行,如果修改了 DATA_DIR 目录记得加到环境后在执行
  2. 颁发的子证书延长: 目前官方没有支持相关的配置,但是通过源码可以看到 k3s 调用了 github.com/rancher/dynamiclistener/cert.NewSignedCert 方法并没有传递参数,且在该方法内有一个读取环境变量 CATTLE_NEW_SIGNED_CERT_EXPIRATION_DAYS 作为默认的证书市场的. 
    1. ansible 安装方式: 在 role/k3s_server 写入默认的变量: extra_service_envs: [ 'CATTLE_NEW_SIGNED_CERT_EXPIRATION_DAYS=36500' ] 即可
    2. k3s-install.sh 脚本: 目前该脚本没有提供读取外部的环境变量的方式. 需要自己进行改造. 这里就不细说. 
  • 已有集群: 
  1. 往 k3s.service.env 写入 CATTLE_NEW_SIGNED_CERT_EXPIRATION_DAYS=36500 配置
  2. 通过官网升级指引,配合上述的自定义ca脚本进行升级.(注意指定到别的路径, 不要直接覆盖当前的证书路径)
  3. 通过该方法对证书进行升级后,即使删除 /etc/rancher/k3s/k3s.yaml 文件重启得到新的集群配置文件也无法通过 kubectl 访问集群. (但是tls证书过期时间、k3s 服务均可以变成期望的)

 

标签:TLS,K3S,k3s,证书,DAYS,SIGNED,EXPIRATION,NEW
From: https://www.cnblogs.com/wethura/p/18213757

相关文章

  • 微信小程序上线必备:SSL证书申请以及安装
    一、认识ssl证书1、ssl证书是什么?SSL证书,全称SecureSocketLayerCertificate,是一种数字证书,它遵循SSL(现在通常指TLS,TransportLayerSecurity)协议标准,用于在客户端(如浏览器)和服务器之间建立安全的加密连接。SSL证书的核心作用包括:2、ssl证书的作用1.服务器身份验证:SS......
  • 一年期免费SSL证书消失了?看这里
    SSL(SecureSocketsLayer)证书作为保障互联网通信安全的关键工具,其有效期一直是业界关注的焦点。近年来,我们见证了免费一年期SSL证书向三个月有效期的转变,这一变革背后蕴含着对网络安全态势的深刻洞察以及对行业规范的积极响应。本文将深入探讨这一变化的原因、影响以及未来趋......
  • HCIE是什么证书?为什么要考?
    每当我发一些关于HCIE的话题时,总有小伙伴过来问“啥是HCIE啊?”今天就一起来了解下,到底什么是HCIE?为什么这么多人都要考HCIE?HCIE是华为认证ICT专家的缩写,它是华为认证体系中最高级别的ICT技术认证。HCIE全称为HuaweiCertifiedICTExpert,旨在为信息和通信技术(ICT)行业提供高......
  • 配置Ingress支持HTTPS访问(二):使用cert-manager申请证书
    目录一.系统环境二.前言三.Let'sEncrypt和cert-manager简介四.部署cert-manager4.1安装cert-manager4.2创建clusterissuer4.3申请域名4.4Cloudflare添加站点4.5修改阿里云的名称服务器为cloudflare名称服务器4.6获取APITokens4.7创建secret存储APItoken4.8配置clusteri......
  • https免费证书申请和安装教程
    免费的SSL证书也是可以实现https,下面是免费证书的申请和安装教程(不限制申请数量)1访问CA创建账号登录JoySSL官网,创建一个证书管理账号,在注册账号时填写注册码230916可以获取不限量领取和技术支持权限,建议填写。免费SSL证书申请网址链接https://www.joyssl.com/certificat......
  • git之fatal: unable to access ‘https://11.2.7.8:68/mjgn/mj.git/‘: SSL certifica
    MENU前言方法一方法二方法三方法四结束语前言出现这个错误是因为Git在访问仓库时遇到了SSL证书问题,具体是证书的密钥太弱,不符合安全要求。方法一升级或更换SSL证书联系服务器管理员,确保服务器上使用的是强密钥SSL证书。推荐使用至少2048位的密钥。方法二......
  • windows服务器 启用 TLS 1.0 ,1.1漏洞问题修复记录
     测试对象:windowsserver2016或2019IIS,sqlserver2014布署的网站启https证书绑定安全检查有漏洞 启用TLS1.0高危,1.1漏洞中危问题修复记录 IISCryptohttps://www.nartac.com/Products/IISCrypto/DownloadIISCrypto是一个免费工具,使管理员能够在WindowsServer......
  • 解答|怎么申请免费的通配符SSL证书
    申请免费的通配符SSL证书的过程通常涉及以下几个步骤,不过需要注意的是,不是所有证书颁发机构(CA)都提供免费的通配符证书服务。以下是一个永久免费的通配符的申请流程:1、选择SSL证书颁发机构(CA):首先,你需要选择一家可靠的SSL证书颁发机构。虽然大部分CA机构只提供免费的单域名证书,但仍......
  • 解决老旧电脑在win7中浏览器访问https网站出现的Let‘sEncrypt证书过期的问题
        原因LetsEncrypt证书未过期,但是其顶级ca根证书“DSTRootCAX3”在2021-09-01过期了,老旧设备上的win系统会被影响到。解决步骤下载三张Letsencrypt的根证书“DSTRootCAX3”的最新版本,包含isrgrootx1.der+isrg-root-x2.der+lets-encrypt-r3.der:https://do......
  • K8S多master节点更换证书
    以下命令master节点均需要执行1.备份cp-a/etc/kubernetes{,.bak}cp-a/var/lib/kubelet{,.bak}cp-a/var/lib/etcd/var/lib/etcd.bak2.生成kubeadm-configkubectl-nkube-systemgetcmkubeadm-config-oyaml>kubeadm-config-20240521.yaml3.刷新证书到期时间再......