我使用aws在kops上创建了一个群集。
但是,我无法找到证书颁发机构用于生成客户端证书的文件。
kops默认会创建这样的东西吗?
如果是,建议创建客户端证书的过程是什么?
kops documentation对此并不十分清楚。
答案 0 :(得分:6)
我过去就像this那样做了:
kops生成的CA证书和签名密钥:
s3://<BUCKET_NAME>/<CLUSTER_NAME>/pki/private/ca/*.key s3://<BUCKET_NAME>/<CLUSTER_NAME>/pki/issued/ca/*.crt openssl genrsa -out client-key.pem 2048 生成CSR:
openssl req -new \
-key client-key.pem \
-out client-csr.pem \
-subj "/CN=<CLIENT_CN>/O=dev"`
生成客户端证书:
openssl x509 -req \
-in client-csr.pem \
-CA <PATH_TO_DOWNLOADED_CA_CERT> \
-CAkey <PATH_TO_DOWNLOADED_CA_KEY> \
-CAcreateserial \
-out client-crt.pem \
-days 10000
config.yml中填充这些值,例如this config.yml分发给您的开发者。 5和6显然可以通过您想要的任何方式分发,不需要为您的开发人员制作config.yml。