我在使用时创建了一个kubernetes集群。awskops
除非我错了,否则ca.crt和ca.key文件位于以下位置,如这个非常有用的答案所示:
- s3://<BUCKET_NAME>/<CLUSTER_NAME>/pki/private/ca/*.key
- s3://<BUCKET_NAME>/<CLUSTER_NAME>/pki/issued/ca/*.crt
但是,我不禁注意到在我的~/.kube/config文件(由 自动创建kops)中,我有一个名为:
certificate-authority-data
其内容与上述两个文件都不同。
在任何情况下,我们在颁发客户端证书时应该使用的 CA 密钥/crt 对是什么?
为什么有(似乎)不止一个 CA?
好吧,这很奇怪......(也许像我这样没有经验的人......)
当我执行:
echo -n <contents_of_the_certificate-authority-data_entry_of_my_kubeconfig_file> | base64 --decode
...我得到我的ca.crt文件...
不是ca.crt已经base64编码了吗?
Kubernetes 配置文件中的证书授权数据与以 base64 编码的证书没有什么不同(配置文件有一个连续的文本字符串比没有 base64 编码更实用)。
您的 .crt 文件以 RSA 编码,而不是 base64。RSA 是一种基于公钥和私钥(分别为您的 .crt 和 .key)的安全密码系统。Base64 充其量对于格式化或传输已加密的数据很有用。