我使用kubernetes在aws上创建了kops群集。
除非我错了,ca.crt和ca.key文件位于以下位置,如this所示非常有用的答案:
- s3://<BUCKET_NAME>/<CLUSTER_NAME>/pki/private/ca/*.key
- s3://<BUCKET_NAME>/<CLUSTER_NAME>/pki/issued/ca/*.crt
但是,我无法在~/.kube/config文件(由kops自动创建)中注意到,我有一个名为的条目:
certificate-authority-data
其内容不同,而不是上述两个文件。
在发布客户端证书时,我们应该使用的CA密钥/ crt对是什么?
为什么(似乎)有多个CA?
答案 0 :(得分:0)
好的,这很奇怪......(也许对于像我这样的问题缺乏经验......)
当我表演时:
echo -n <contents_of_the_certificate-authority-data_entry_of_my_kubeconfig_file> | base64 --decode
...我收到ca.crt个文件......
ca.crt已经base64编码了吗?
答案 1 :(得分:0)
您的Kubernetes配置文件中存在的 certificate-authority-data 是您的证书在base64中编码的其他内容(为配置文件提供连续文本字符串更加实用)比没有base64编码)。
你的.crt文件是用RSA编码的,而不是用base64编码的。 RSA是一个基于公钥和私钥的安全密码系统(分别是.crt和.key)。 Base64最多可用于格式化或传输已加密的数据。