我在aws使用时创建了一个集群kops。
但是,我无法找到证书颁发机构用来生成客户端证书的文件。
kops默认情况下会创建这样的东西吗?
如果是这样,创建客户端证书的推荐过程是什么?
kops文档对此不是很清楚。
问问题
3318 次
1 回答
9
我过去做过这样的事情:
- 从 S3下载生成的
kopsCA 证书和签名密钥:s3://<BUCKET_NAME>/<CLUSTER_NAME>/pki/private/ca/*.keys3://<BUCKET_NAME>/<CLUSTER_NAME>/pki/issued/ca/*.crt
- 生成客户端密钥:
openssl genrsa -out client-key.pem 2048 生成 CSR:
openssl req -new \ -key client-key.pem \ -out client-csr.pem \ -subj "/CN=<CLIENT_CN>/O=dev"`生成客户端证书:
openssl x509 -req \ -in client-csr.pem \ -CA <PATH_TO_DOWNLOADED_CA_CERT> \ -CAkey <PATH_TO_DOWNLOADED_CA_KEY> \ -CAcreateserial \ -out client-crt.pem \ -days 10000- Base64 编码客户端密钥、客户端证书和 CA 证书,并将这些值填充到 a 中
config.yml,例如这个 - 将填充的内容
config.yml分发给您的开发人员。
5 和 6 显然可以通过您想要的任何方式分发,不需要config.yml为您的开发人员制作。
于 2018-01-09T16:41:15.533 回答