vashon's docs
  • Kubernetes
  • Kubernetes之etcd数据库
  • Kubernetes中pod的创建流程
  • k8s一键部署脚本
  • TKE操作笔记01
  • TKE操作笔记02
  • TKE操作笔记03
  • TKE操作笔记04
  • TKE学习笔记
  • TKE上搭建EFK日志采集系统
  • TKE上搭建prometheus
  • TKE升级node节点版本
  • TKE上部署treafik2
  • k8s之dns解析
  • TKE网络模式之vpc-cni
  • harbor搭建企业docker私有镜像仓库
  • Traefik1.7.17的部署使用
  • TKE中configMap的使用
  • TKE集群中deployment使用vpc-cni模式
  • TKE中使用lb直连获取客户端真实IP
  • TKE上搭建集群Dashboard
  • TKE中在节点上获取容器资源配置
  • TKE挂载COS桶容器目录权限如何设置
  • TKE中挂载文件到CFS子目录
  • TKE上部署metrics-server
  • TKE之初识容器探测器
  • 自制CA证书设置ssl证书
  • TKE上动态部署jenkins-slaves
  • Kubernetes之RBAC权限管理
  • Kubernetes之调度篇
  • Kubectl命令行jsonpath的使用
  • Kubernetes插件之ip-masq-agent
  • linux定位问题常用命令
  • 关于kubernetes垃圾回收那点事
  • Kubernetes在pod中配置hosts解析域名
  • Kubernetes之helm部署使用
  • kubeadm部署k8s
  • TKE使用自建NFS持久化存储
  • 二进制部署k8s
  • TKE上关于postStart和preStop使用
  • DockerFile学习
  • linux常用命令
  • k8s中通过ExternalName访问外部服务副本
  • docker常用命令
  • 搭建Docker私有仓库
  • crictl调试Kubernetes节点
  • 强制删除Terminating的ns
  • kubernetes之StatefulSet控制器
  • kubewatch监控k8s集群资源变更
  • 日志聚合工具Loki
  • 关于kubernetes证书的那点事
  • 如何阅读k8s源码
  • k8s之securityContext
  • Kubernetes之多集群的访问
  • k8s之externaltrafficpolicy保留客户端源ip
  • fluent-bit收集不同业务日志
由 GitBook 提供支持
在本页
  • 安装openssl工具
  • 生成ca证书
  • 生成 CA 私钥
  • 生成请求文件
  • 生成CA证书
  • 生成服务端证书并CA签发
  • 生成服务端私钥
  • 生成服务端公钥
  • 生成服务端向CA申请签名的CSR
  • 生成服务端带有CA签名的证书
  • 生成客户端证书并CA签发
  • 生成客户端私钥
  • 生成客户端公钥
  • 生成客户端向CA申请签名的CSR
  • 生成客户端带有CA签名的证书
  • 使用证书在nginx进行https的配置

这有帮助吗?

自制CA证书设置ssl证书

本章介绍了如何自制CA证书签发ssl证书来配置https服务

安装openssl工具

# yum install openssl
# yum install openssl-devel
# openssl version -a

生成ca证书

生成 CA 私钥

# openssl genrsa -out ca.key 1024

生成请求文件

openssl req -new -key ca.key -out ca.csr -subj "/C=CN/ST=Guangdong/L=Shenzhen/O=devops/OU=devops/CN=nwx_qdlg@163.com"

注意:这里的 Organization Name (eg, company) [Internet Widgits Pty Ltd]: 后面生成客户端和服务器端证书的时候也需要填写,O和OU不要写成一样的!!!

生成CA证书

openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt

生成服务端证书并CA签发

生成服务端私钥

openssl genrsa -out server.key 1024

生成服务端公钥

openssl rsa -in server.key -pubout -out server.pem

生成服务端向CA申请签名的CSR

openssl req -new -key server.key -out server.csr -subj "/C=CN/ST=Guangdong/L=Shenzhen/O=serverdevops/OU=serverdevops/CN=nwx_qdlg@163.com"

生成服务端带有CA签名的证书

openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt

生成客户端证书并CA签发

生成客户端私钥

openssl genrsa -out client.key 1024

生成客户端公钥

openssl rsa -in client.key -pubout -out client.pem

生成客户端向CA申请签名的CSR

openssl req -new -key client.key -out client.csr -subj "/C=CN/ST=Guangdong/L=Shenzhen/O=clientdevops/OU=clientdevops/CN=nwx_qdlg@163.com"

生成客户端带有CA签名的证书

openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in client.csr -out client.crt

使用证书在nginx进行https的配置

将服务端或者客户端生成的私钥和CA签名证书拷贝到对应的服务部署机器上进行部署

例如:

配置nginx 我们拿到CA签发的这个证书后,需要将证书配置在nginx中。 首先,我们将server.crt和server.key拷贝到nginx的配置文件所在的目录 其次,在nginx的配置中添加如下配置:

server {
        listen       443 ssl;
        server_name  你的域名;
        charset utf-8;

        ssl on;
        ssl_certificate      server.crt;
        ssl_certificate_key  server.key;

        location / {
            root   html;
            index  index.html index.htm;
        }
    }
上一页TKE之初识容器探测器下一页TKE上动态部署jenkins-slaves

最后更新于4年前

这有帮助吗?