02.创建CA证书和秘钥

来源 1 浏览 1036 扫码分享 2020-04-28 20:51:52

02.创建 CA 证书和秘钥

CA (Certificate Authority) 是自签名的根证书，用来签名后续创建的其它证书。

注意：如果没有特殊指明，本文档的所有操作均在 zhangjun-k8s01 节点上执行，然后远程分发文件和执行命令。

CA 配置文件用于配置根证书的使用场景 (profile) 和具体参数 (usage，过期时间、服务端认证、客户端认证、加密等)，后续在签名其它证书时需要指定特定场景。

signing：表示该证书可用于签名其它证书，生成的证书中 CA=TRUE；
server auth：表示 client 可以用该该证书对 server 提供的证书进行验证；

CN：，kube-apiserver 从证书中提取该字段作为请求的用户名 (User Name)，浏览器使用该字段验证网站是否合法；
O：Organization，kube-apiserver 从证书中提取该字段作为请求用户所属的组 (Group)；
kube-apiserver 将提取的 User、Group 作为 RBAC 授权的用户标识；

各种 CA 证书类型：

本文档使用 BookStack 构建

展开/收起文章目录