Перейти к основному содержимому

5.1.2.1. Инициализация ЦА

Центр аутентификации — это удостоверяющий центр (Certificate Authority, CA), который выпускает, а также управляет корневыми сертификатами. Корневые сертификаты служат доверенным источником для установления защищённых соединений между компонентами кластера Kubernetes. Они обеспечивают аутентификацию и шифрование коммуникаций между узлами, сервисами и клиентами, гарантируя целостность и конфиденциальность передаваемых данных.

5.1.2.1.1. ETCD

warning

Обратите внимание: данный блок описывает только процесс создания корневых сертификатов ETCD CA.

Рабочая директория

mkdir -p /etc/kubernetes/openssl
mkdir -p /etc/kubernetes/pki/etcd

Конфигурация

cat <<EOF > /etc/kubernetes/openssl/etcd-ca.conf
[req]
distinguished_name = req_distinguished_name
x509_extensions = v3_ca
prompt = no

[req_distinguished_name]
CN = "etcd-ca"

[v3_ca]
keyUsage = critical, keyCertSign, keyEncipherment, digitalSignature
basicConstraints = critical,CA:TRUE
EOF

Генерация приватного ключа

openssl genrsa \
-out /etc/kubernetes/pki/etcd/ca.key 2048

Генерация публичного ключа

openssl req \
-x509 \
-new \
-nodes \
-key /etc/kubernetes/pki/etcd/ca.key \
-sha256 \
-days 3650 \
-out /etc/kubernetes/pki/etcd/ca.crt \
-config /etc/kubernetes/openssl/etcd-ca.conf
Проверка готовности сертификата
Обратите ВНИМАНИЕ!

Данный раздел зависит от следующих разделов:

/etc/kubernetes/openssl/cert-report.sh /etc/kubernetes/pki/etcd/ca.crt
Вывод команды
CERTIFICATE AUTHORITY   EXPIRES                  RESIDUAL TIME   EXTERNALLY MANAGED
etcd-ca Oct 20, 2034 22:04 UTC 9y no