我已使用 kops 在 aws 上创建了一个集群。
但是,我无法找到证书颁发机构用作/由证书颁发机构用于生成客户端证书的文件。
kops 默认会创建这样的东西吗?
如果是,创建客户端证书的推荐流程是什么?
kops documentation这个不是很清楚。
最佳答案
我已经这样做了 this过去:
- 下载
kops-从S3生成的CA证书和签名 key :-
s3://<BUCKET_NAME>/<CLUSTER_NAME>/pki/private/ca/*.key -
s3://<BUCKET_NAME>/<CLUSTER_NAME>/pki/issued/ca/*.crt
-
- 生成客户端 key :
openssl genrsa -out client-key.pem 2048 生成 CSR:
openssl req -new \ -key client-key.pem \ -out client-csr.pem \ -subj "/CN=<CLIENT_CN>/O=dev"`生成客户端证书:
openssl x509 -req \ -in client-csr.pem \ -CA <PATH_TO_DOWNLOADED_CA_CERT> \ -CAkey <PATH_TO_DOWNLOADED_CA_KEY> \ -CAcreateserial \ -out client-crt.pem \ -days 10000- 对客户端 key 、客户端证书和 CA 证书进行 Base64 编码,并将这些值填充到
config.yml中。 ,例如this - 分发填充的
config.yml给您的开发人员。
5 和 6 显然可以通过任何你想要的方式进行分发,不需要制作 config.yml为您的开发人员提供。
关于kubernetes:通过 kops 部署时的 CA 文件,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/48172310/