02.创建 CA 证书和秘钥
CA (Certificate Authority) 是自签名的根证书,用来签名后续创建的其它证书。
注意:如果没有特殊指明,本文档的所有操作均在 zhangjun-k8s01 节点上执行,然后远程分发文件和执行命令。
CA 配置文件用于配置根证书的使用场景 (profile) 和具体参数 (usage,过期时间、服务端认证、客户端认证、加密等),后续在签名其它证书时需要指定特定场景。
signing
:表示该证书可用于签名其它证书,生成的 证书中CA=TRUE
;server auth
:表示 client 可以用该该证书对 server 提供的证书进行验证;
- CN:,kube-apiserver 从证书中提取该字段作为请求的用户名 (User Name),浏览器使用该字段验证网站是否合法;
- O:
Organization
,kube-apiserver 从证书中提取该字段作为请求用户所属的组 (Group); - kube-apiserver 将提取的 User、Group 作为
RBAC
授权的用户标识;
- 各种 CA 证书类型: