證書
- 自簽證書 (內網可以用)
- 權威機構頒發
生成證書常用的2種工具、openssl、cfssl
cfssl安裝證書
使用腳本生成證書
一、下載腳本資源到服務器
TLS.tar.gz
二、解壓腳本
tar
-zxvf TLS.tar.gz
三、解壓完成會得到CTL文件夾,進入TLS文件夾
cd TLS
四、查看我們的SSL腳本
cat cfssl.sh
五、執行腳本
./cfssl.sh
六、執行完成就會創建/usr/local/bin/目錄,cfssl工具就安裝好了。查看/usr/local/bin/信息
ls /usr/local/bin/
七、生成證書,進入etcd目錄
cd etcd/
八、里面有四個文件:
- ca-config.json 指CA機構
- ca-csr.json 指CA機構
- generate_etcd_cert.sh 創建證書的腳本
- server-csr.json 配置需要頒發證書的信息,域名、地區等
九、查看generate_etcd_cert.sh腳本信息
cat generate_etcd_cert.sh
輸出如下2條命令:
# cfssl gencert -initca ca-csr.json | cfssljson -bare ca - #自建CA
# cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=www server-csr.json | cfssljson -bare server #創建serverCA
# cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=www server-csr.json | cfssljson -bare server #創建serverCA
十、首先自建一個CA
cfssl gencert -initca ca-csr.json | cfssljson -bare ca
ls *pem #可以看到創建成功的文件
十一、 設置給我們要頒發的域名、IP
vi server-csr.json
十二、執行頒發證書的腳本
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=www server-csr.json | cfssljson -bare server
十三、查看我們生成的證書
ls *pem
server.pem #相當於crt
server-key.pem #相當於key
如果要設置證書過期時間:
vi ca-config.json #默認是10年