一.问题现象和原因 Kubernetes 日志错误 当 Kubernetes 集群日志中出现 certificate has expired or is not yet valid 错误信息时,表明证书过期 证书过期原因 服务器时间不对,导致证书过期 确实证书过期了 证书过期,很多同学会很疑惑,我证书明明签署10年有效期或者更久,怎么刚1年就过期了,下面就来解惑. Kubernetes 集群证书 集群分为两种证书:一.用于集群 Master.Etcd等通信的证书. 二.用于集群 Kubelet 

昨天收到报警短信:集群中某node状态为notReady,由于是长期不用的,所以放到今天才有空处理,以下记录处理过程. 查看kubelet日志,发现不停的打印证书过期相关提示信息. 以下操作基于kubernetes集群版本:v1.6.6 kubelete 证书默认有效期一年 1.查看证书有效期,这里使用以前下载的cfssl-certinfo curl -s -L -o /usr/local/bin/cfssl-certinfo https://pkg.cfssl.org/R1.2/cfssl-c

Let's Encrypt申请的证书会有三个月的有效期,如何更方便的续期呢? 关于证书续期: 所谓letsencrypt续期,续期相当于重新申请一次证书,然后在服务器端将过期的证书替换掉即可.由于这个免费的证书只有3个月的有效期,所以需要提前申请好新的证书,然后部署到服务器上. 常规做法: 一般情况下在自己服务器部署申请Let's Encrypt证书环境的话,这些软件都会提供续期功能. 1.如果只是单纯的一个域名(非泛域名),只需要在网站目录创建特定的文件就可以完成验证,自动部署,无需人工操作.

前面一篇教程教大家如何能够把网站的 HTTPS 的 SSL 证书自动续期.料神米课的学员动手能力都很强,已经很多都成功把证书续期了.但怎么看证书续期是否成功了呢? 使用火狐 firefox 浏览器就可以很轻松地知道你的网站SSL证书的有效期,通过有效期是否延期可以知道证书续期是否生效.Ok, follow me. 首先用 firefox 打开你的网站,在你网站左边的小绿锁上点击一下,会弹出一个菜单.点击你网站域名右边的小三角箭头,如图所示. 来到此处,点击 “ 更多信息”. 会打开火狐的页面信息

Certbot(Let's Encrypt)是一个非盈利性认证机构通过运行互联网安全研究小组(ISRG)提供X.509 证书的传输层安全性不收取任何费用(TLS)加密.证书有效期为90天,在此期间可以随时续订.提供一个自动化流程,旨在克服安全网站的手动创建,验证,签名,安装和续订证书. Certbot Wiki 前言 因不想在部署环境安装Certbot -> 强迫症 哈哈哈,所以将在其他机子上申请SSL证书(使用手动模式DNS验证) 官方文档 材料 属于自己的域名(可以修改解析的). 可联网的L

这个问题,很多使用使用kubeadm的用户都会遇到. 网上也有类似的帖子,从源代码编译这种思路, 在生产环境,有些不现实. 还是使用kubeadm的命令操作,比较自然一点. 当然,自行生成一套证书,也是在新安装集群里,可以考虑的方案. =============================================== .问题起源 kubeadm 是 kubernetes 提供的一个初始化集群的工具,使用起来非常方便.但是它创建的apiserver.controller-manager

首先,什么是kubelet bootstrap?在安装 k8s worker node 时,基本上 worker 的初始状态仅仅是安装了 docker 和 kubelet,worker 需要一种机制跟 master 通信.但网络通信的基本假设是通信双方谁也不信任谁.所以,kubelet bootstrap要以自动化的方式解决如下几个问题: 在只知道 api server IP 地址的情况下,worker node 如何获取 api server 的 CA 证书? 如何让 api server 信

Let's Encrypt 免费通配符 SSL 证书申请教程 from:https://blog.csdn.net/English0523/article/details/79608464 2018 年 3 月 14 日,Let’s Encrypt 对外宣布 ACME v2 已正式支持通配符证书.这就意外味着用户可以在 Let’s Encrypt 上免费申请支持通配符的 SSL 证书. 什么是 Let’s Encrypt Let’s Encrypt 是国外一个公共的免费 SSL 项目,由 Lin

Let’s Encrypt从2018年开始支持泛域名证书,有效期3个月,目前仅支持acme方式申请,暂不支持certbot. 1.安装acme.sh curl https://get.acme.sh | sh 2.请求证书(泛域名以*.s-b.me为例) cd /.acme.sh ./acme.sh --issue -d *.s-b.me -d s-b.me --dns --yes-I-know-dns-manual-mode-enough-go-ahead-please 输出: [Sat Ma

CFSSL是CloudFlare开源的一款PKI/TLS工具. CFSSL 包含一个命令行工具 和一个用于 签名,验证并且捆绑TLS证书的 HTTP API 服务. 使用Go语言编写. Github 地址: https://github.com/cloudflare/cfssl 官网地址: https://pkg.cfssl.org/ 参考地址:liuzhengwei521 curl -s -L -o /bin/cfssl https://pkg.cfssl.org/R1.2/cfssl_lin

十一．部署kubelet 接下来两个章节是部署Kube-Node相关的服务,包含:kubelet,kube-proxy. 1. TLS bootstrap用户授权 # kubelet采用TLS Bootstrapping 机制,自动完成到kube-apiserver的注册,在node节点量较大或者后期自动扩容时非常有用. # kubelet 启动时向 kube-apiserver 发送 TLS bootstrapping 请求,需要先将 bootstrap token 文件中的 kubelet-

一 Kubernetes证书 1.1 TLS Kubernetes系统的各个组件需要使用TLS证书对其通信加密以及授权认证,建议在部署之前先生成相关的TLS证书. 1.2 CA证书创建方式 kubernetes 系统各个组件需要使用TLS证书对通信进行加密,通常可通过以下工具生产自建证书: openssl cfssl easyrsa 1.3 Kubernetes组件证书 部署kubernetes组件建议使用TLS双向认证的,相关组件涉及的主要证书有: etcd证书:etcd集群之间通信加密使用的

利用二进制文件安装etcd所需要的证书服务 CFSSL是CloudFlare开源的一款PKI/TLS工具. CFSSL 包含一个命令行工具 和一个用于 签名,验证并且捆绑TLS证书的 HTTP API 服务. 使用Go语言编写. 集群相关证书类型 client certificate: 用于服务端认证客户端,例如etcdctl.etcd proxy.fleetctl.docker客户端 server certificate: 服务端使用,客户端以此验证服务端身份,例如docker服务端.kube

证书生成工具,手动:Keymanager工具https://keymanager.org/ 证书服务商集成:可自由获得TrustAsia.Let’s Encrypt颁发的 免费证书. Keymanager使用的是https://www.sslforfree.com/ 这个网站的接口来生成证书的 https://myssl.com/ https://freessl.cn/ 该网站可以检测ssl证书, ssl配置证书链的模板文件地址: https://mozilla.github.io/server

重新生成证书 证书备份 cp -rp /etc/kubernetes /etc/kubernetes.bak 移除过期证书 rm -f /etc/kubernetes/pki/apiserver* rm -f /etc/kubernetes/pki/front-proxy-client.* rm -rf /etc/kubernetes/pki/etcd/healthcheck-client.* rm -rf /etc/kubernetes/pki/etcd/server.* rm -rf /et

前言 APP端抓包中, 设置抓包代理后会发现部分APP(如app store.Facebook)直接无法访问,其他部分app又功能正常,为什么呢?这涉及 ssl-pinning,证书锁定. 证书锁定(SSL/TLS Pining),顾名思义,将服务器提供的SSL/TLS证书内置到移动端开发的APP客户端内,当客户端发起请求时,通过对比内置的证书和服务器端证书的内容,以确定这个链接的合法性. HTTPS与中间人攻击 HTTPS HTTPS实际上是由HTTP协议与TLS协议组合而成的一个协议. TL

nginx 安装 ssl 证书 关键词: pem 转 crt , 证书续期, nginx 部署 ssl 证书, 解决 SSL23_GET_SERVER_HELLO 错误. 之前免费申请的 1年的证书过期了, 今天再部署新申请的证书到新的服务器上. 下载证书的时候, 发现证书并不是 crt 格式的, 而是 pem 格式的. 阿里云提供的各自程序的证书都没有可用的 crt 格式 直接配置 pem, 放在 nginx 里试了下, 无法识别. 最简化 nginx 配置也没有用 通过 openssl 把

Let's Encrypt是很火的一个免费SSL证书发行项目,自动化发行证书,证书有90天的有效期.Let's Encrypt已经发布了工具certbot,用此工具生成证书.证书续期非常简单. 以下是用certbot生成通配符域名证书的使用方法(Centos7为例): 执行: certbot certonly -d *.domain.com --manual --preferred-challenges dns --server https://acme-v02.api.letsencrypt.

kubeadm 默认证书为一年,一年过期后,会导致api service不可用,使用过程中会出现:x509: certificate has expired or is not yet valid. 方案一 通过修改kubeadm 调整证书过期时间 修改代码,调整过期时间 克隆代码:git clone https://github.com/kubernetes/kubernetes.git, 切换到指定的tag或者版本修改vendor/k8s.io/client-go/util/cert/cer

.问题起源 kubeadm 是 kubernetes 提供的一个初始化集群的工具,使用起来非常方便.但是它创建的apiserver.controller-manager等证书默认只有一年的有效期,同时kubelet 证书也只有一年有效期,一年之后 kubernetes 将停止服务. 官方推荐一年之内至少用 kubeadm upgrade 更新一次 kubernetes 系统,更新时也会自动更新证书.不过,在产线环境或者无法连接外网的环境频繁更新 kubernetes 不太现实. 我们可以在过期之