最近2018中文字幕在日韩欧美国产成人片_国产日韩精品一区二区在线_在线观看成年美女黄网色视频_国产精品一区三区五区_国产精彩刺激乱对白_看黄色黄大色黄片免费_人人超碰自拍cao_国产高清av在线_亚洲精品电影av_日韩美女尤物视频网站

2022/02/01 11:50:39 [INFO] generating a new CA key and certificate from CSR
2022/02/01 11:50:39 [INFO] generate received request
2022/02/01 11:50:39 [INFO] received CSR
2022/02/01 11:50:39 [INFO] generating key: rsa-2048
2022/02/01 11:50:39 [INFO] encoded CSR
2022/02/01 11:50:39 [INFO] signed certificate with serial number 263983151013686720899716354349605500797834580472

這會產(chǎn)生一個證書頒發(fā)機(jī)構(gòu)密鑰文件（?ca-key.pem?）和證書（?ca.pem?）。

頒發(fā)證書

{
    "signing": {
        "default": {
            "usages": [
                "digital signature",
                "key encipherment",
                "server auth"
            ],
            "expiry": "876000h",
            "ca_constraint": {
                "is_ca": false
            }
        }
    }
}

使用 ?server-signing-config.json? 簽名配置、證書頒發(fā)機(jī)構(gòu)密鑰文件和證書來簽署證書請求：

kubectl get csr my-svc.my-namespace -o jsonpath='{.spec.request}' | \
  base64 --decode | \
  cfssl sign -ca ca.pem -ca-key ca-key.pem -config server-signing-config.json - | \
  cfssljson -bare ca-signed-server

你應(yīng)該看到類似于以下的輸出：

2022/02/01 11:52:26 [INFO] signed certificate with serial number 576048928624926584381415936700914530534472870337

這會生成一個簽名的服務(wù)證書文件，?ca-signed-server.pem?。

上傳簽名證書

最后，在 API 對象的狀態(tài)中填充簽名證書：

kubectl get csr my-svc.my-namespace -o json | \
  jq '.status.certificate = "'$(base64 ca-signed-server.pem | tr -d '\n')'"' | \
  kubectl replace --raw /apis/certificates.k8s.io/v1/certificatesigningrequests/my-svc.my-namespace/status -f -

說明：

這使用命令行工具 ?
jq? 在 ?
.status.certificate? 字段中填充 base64 編碼的內(nèi)容。 如果你沒有 ?
jq ?工具，你還可以將 JSON 輸出保存到文件中，手動填充此字段，然后上傳結(jié)果文件。

批準(zhǔn) CSR 并上傳簽名證書后，運(yùn)行：

kubectl get csr

輸入類似于：

NAME                  AGE   SIGNERNAME            REQUESTOR              REQUESTEDDURATION   CONDITION
my-svc.my-namespace   20m   example.com/serving   [email protected]                 Approved,Issued

下載證書并使用它

現(xiàn)在，作為請求用戶，你可以通過運(yùn)行以下命令下載頒發(fā)的證書并將其保存到 ?server.crt? 文件中：

CSR 被簽署并獲得批準(zhǔn)后，你應(yīng)該看到以下內(nèi)容：

kubectl get csr my-svc.my-namespace -o jsonpath='{.status.certificate}' \
    | base64 --decode > server.crt

現(xiàn)在你可以將 ?server.crt? 和 ?server-key.pem? 填充到 Secret 中， 稍后你可以將其掛載到 Pod 中（例如，用于提供 HTTPS 的網(wǎng)絡(luò)服務(wù)器）。

kubectl create secret tls server --cert server.crt --key server-key.pem

secret/server created

最后，你可以將 ?ca.pem? 填充到 ConfigMap 并將其用作信任根來驗證服務(wù)證書：

kubectl create configmap example-serving-ca --from-file ca.crt=ca.pem

configmap/example-serving-ca created

批準(zhǔn)證書簽名請求（CSR） 

Kubernetes 管理員（具有適當(dāng)權(quán)限）可以使用 ?kubectl certificate approve? 和 ?kubectl certificate deny? 命令手動批準(zhǔn)（或拒絕）證書簽名請求（CSR）。 但是，如果你打算大量使用此 API，則可以考慮編寫自動化的證書控制器。

注意：

批準(zhǔn)證書 CSR 的能力決定了在你的環(huán)境中誰信任誰。 不應(yīng)廣泛或輕率地授予批準(zhǔn) CSR 的能力。

在授予 ?
approve ?權(quán)限之前，你應(yīng)該確保自己充分了解批準(zhǔn)人的驗證要求和頒發(fā)特定證書的后果。

無論上述機(jī)器或人使用 kubectl，“批準(zhǔn)者”的作用是驗證 CSR 滿足如下兩個要求：

1. CSR 的 subject 控制用于簽署 CSR 的私鑰。這解決了偽裝成授權(quán)主體的第三方的威脅。 在上述示例中，此步驟將驗證該 Pod 控制了用于生成 CSR 的私鑰。
2. CSR 的 subject 被授權(quán)在請求的上下文中執(zhí)行。 這點(diǎn)用于處理不期望的主體被加入集群的威脅。 在上述示例中，此步驟將是驗證該 Pod 是否被允許加入到所請求的服務(wù)中。

當(dāng)且僅當(dāng)滿足這兩個要求時，審批者應(yīng)該批準(zhǔn) CSR，否則拒絕 CSR。

給集群管理員的一個建議

本頁面假設(shè)已經(jīng)為 certificates API 配置了簽名者。 Kubernetes 控制器管理器提供了一個簽名者的默認(rèn)實現(xiàn)。要啟用它，請為控制器管理器設(shè)置 ?--cluster-signing-cert-file? 和 ?--cluster-signing-key-file? 參數(shù)， 使之取值為你的證書機(jī)構(gòu)的密鑰對的路徑。