手把手-安裝-cfssl

操作系統

Centos 7.6 , Ubuntu-19.10

硬件配置(推薦)

 CPU / 內存 : 2核 / 4GB

安裝版本

cfssl 1.2

https://pkg.cfssl.org/R1.2/cfssl_linux-amd64

https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64

https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64

---

 

開始安裝

首先下載安裝包

wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64

賦予執行權限

chmod -x cfssl*

重命名

for x in cfssl*; do mv $x ${x%*_linux-amd64};  done

移動文件到目錄 (/usr/bin)

mv cfssl* /usr/bin

 

---

  

生成ca配置

client certificate： 用於服務端認證客戶端,例如etcdctl、etcd proxy、fleetctl、docker客戶端
server certificate: 服務端使用，客戶端以此驗證服務端身份,例如docker服務端、kube-apiserver
peer certificate: 雙向證書，用於etcd集群成員間通信 

 

創建ca配置文件 (ca-config.json)

"ca-config.json"：可以定義多個 profiles，分別指定不同的過期時間、使用場景等參數；后續在簽名證書時使用某個 profile；

"signing"：表示該證書可用於簽名其它證書；生成的 ca.pem 證書中 CA=TRUE；

"server auth"：表示client可以用該 CA 對server提供的證書進行驗證；

"client auth"：表示server可以用該CA對client提供的證書進行驗證；

創建配置文件

vi ca-config.json

{
    "signing": {
        "default": {
            "expiry": "43800h"
        },
        "profiles": {
            "server": {
                "expiry": "43800h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "server auth"
                ]
            },
            "client": {
                "expiry": "43800h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "client auth"
                ]
            },
            "peer": {
                "expiry": "43800h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "server auth",
                    "client auth"
                ]
            },
            "kubernetes": {
                "expiry": "43800h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "server auth",
                    "client auth"
                ]
            },
            "etcd": {
                "expiry": "43800h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "server auth",
                    "client auth"
                ]
            }
        }
    }
}

 

創建ca證書簽名(ca-csr.json)

"CN"：Common Name，從證書中提取該字段作為請求的用戶名 (User Name)；瀏覽器使用該字段驗證網站是否合法；
"O"：Organization，從證書中提取該字段作為請求用戶所屬的組 (Group)；
這兩個參數在后面的kubernetes啟用RBAC模式中很重要，因為需要設置kubelet、admin等角色權限，那么在配置證書的時候就必須配置對了，具體后面在部署kubernetes的時候會進行講解。
"在etcd這兩個參數沒太大的重要意義，跟着配置就好。"

創建配置文件

vi ca-csr.json

{
    "CN": "SelfSignedCa",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "shanghai",
            "O": "cfssl",
            "ST": "shanghai",
            "OU": "System"
        }
    ]
}

生成ca證書和私鑰

cfssl gencert -initca ca-csr.json | cfssljson -bare ca -

ls
ca.csr ca.pem(ca公鑰) ca-key.pem(ca私鑰,妥善保管)

創建etcd證書簽名(etcd-csr.json)

vi etcd-csr.json

{
    "CN": "etcd",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "shanghai",
            "O": "etcd",
            "ST": "shanghai",
            "OU": "System"
        }
    ]
}

生成etcd證書和私鑰

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=etcd etcd-csr.json | cfssljson -bare etcd

創建kubernetes證書簽名(kubernetes-csr.json)

vi kubernetes-csr.json

{
    "CN": "kubernetes",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "shanghai",
            "O": "kubernetes",
            "ST": "shanghai",
            "OU": "System"
        }
    ]
}

生成kubernetes證書和私鑰

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kubernetes-csr.json | cfssljson -bare kubernetes