2023年6月30日发(作者：)

CFSSL使⽤⽅法重新整理说明2创建CA(Certificate Authority)（master节点） mkdir /root/ssl cd /root/ssl cfssl print-defaults config > # 默认配置模板 cfssl print-defaults csr > #默认csr请求模板 # 根据⽂件的格式创建如下的⽂件 # 过期时间设置成了 87600h cat > < <

"key": { "algo": "rsa", "size": 2048 }, "names": [ { "C": "CN", "ST": "GuangDong", "L": "ShenZhen", "O": "k8s", "OU": "System" } ], "ca": { "expiry": "87600h" } }

EOF 知识点： "CN"：Common Name，kube-apiserver 从证书中提取该字段作为请求的⽤户名 (User Name) "CN"：Common Name，kube-apiserver 从证书中提取该字段作为请求的⽤户名 (User Name) "O"：Organization，kube-apiserver 从证书中提取该字段作为请求⽤户所属的组 (Group)4 ⽣成CA证书和私钥 cfssl gencert -initca | cfssljson -bare ca 将会⽣成 （私钥） （公钥） 知识点： cfssljson只是整理json格式，-bare主要的意义在于命名 （个⼈见解，以便理解，勿喷）5 创建kubernetes证书请求⽂件 cat > <

知识点： -config 引⽤的是模板中的默认配置⽂件，-profiles是指定特定的使⽤场景，⽐如中的kubernetes区域7 创建admin证书 cat > <