我使用下面的命令在本地生成密钥。
openssl genrsa -out testsvc.testns.ing.lb.xyz.io.key.pem 2048
使用以下命令生成CSR(证书签名请求)。
openssl req -new -sha256 -key testsvc.testns.ing.lb.xyz.io.key.pem -subj" /CN=testsvc.testns.ing.lb.xyz.io"
我使用上面的CSR文件生成了证书链文件,最后获得了以下文件。
testsvc.testns.ing.lb.xyz.io.chain.pem
我正在尝试将它们用于入口tls,而下面是入口tls的命令。
kubectl创建秘密tls custom-tls-cert --key /path/to/tls.key --cert /path/to/tls.crt
不确定,我如何使用上面的命令使用chain.pem文件和key.pem文件。尝试从chain.pem生成crt并在kubectl上获取错误创建秘密。
"error: failed to load key pair tls: failed to find any PEM data in certificate input"
我想创建以下秘密。
apiVersion: v1
data:
tls.crt: base64 encoded cert
tls.key: base64 encoded key
kind: Secret
metadata:
name: testsecret
namespace: default
type: Opaque
不确定如何使用chain.pem文件生成.crt和.key文件。
由于
答案 0 :(得分:2)
首先,让我们澄清密钥,CSR和证书是什么。
key - 本地生成的秘密文件显示/发送给noone(key.pem)
csr - 由key.pem生成的文件(request.pem),需要发送到CA(证书颁发机构)。 (您可以拥有自己的CA,但通常由其他人管理)
cert - 由CA根据request.pem及其自己的CA私钥创建的文件(cert.pem)
现在,您可以使用这两个文件 - key.pem和cert.pem - 在您的服务和客户端之间创建安全连接。
我想你只创建了一个密钥和一个请求。因此,您需要更进一步,从CA获取证书。
出于测试目的,您可以使用一个命令创建新密钥和自签名证书:
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes -subj " /C=US/ST=Florida/L=Miami/O=SomeCompany/OU=ITdepartment/CN=www.mydomain.com"
(根据您的需要调整)
有不同类型的密钥和证书,很容易找到将一种格式转换为另一种格式的方法。
创建Secret时使用PEM格式的证书和密钥应该可以正常工作。
只需将密钥和证书插入该命令,如下所示:
kubectl create secret tls testsecret --key key.pem --cert cert.pem
此命令创建一个Secret对象,并使用base64对key.pem和cert.pem内容进行编码。
您可以使用以下命令检查已创建对象的内容:
kubectl get secret testsecret -o yaml
echo "tls.crt: content" | base64 --decode
例如:
echo "LS0t...tLS0tLQo=" | base64 --decode
在此处阅读有关使用和生成证书的更多信息:
https://www.sslshopper.com/article-most-common-openssl-commands.html
How to create a self-signed certificate with openssl?
https://docs.bitnami.com/kubernetes/how-to/secure-kubernetes-services-with-ingress-tls-letsencrypt/