在k8s上刷新过期的证书

时间:2018-04-16 15:46:48

标签: ssl kubernetes certificate

我在k8s群集上遇到过期证书问题。我正在运行1.6.1版本超过一年,这意味着我的证书已过期,我必须更新它们。 在较新的版本中,这已经自动完成,但我目前无法将我的群集升级到更高版本,因此我必须手动创建证书。

我偶然发现了link,其中一步一步地描述了它,但实际上我已经停留在创建openssl.cnf文件,因为我缺少参数。同时,此选项使用.pem键,而在群集上当前使用.crt和.key对。

有任何建议如何推进这个?我也试过运行kubeadm alpha phase certs selfsign命令,它创建了新的证书,但我仍然遇到api-server拒绝TSL握手的问题。

http: TLS handshake error from IP:port: remote error: tls: bad certificate

谢谢你,最诚挚的问候,

波斯蒂安

1 个答案:

答案 0 :(得分:3)

有一个详细的guide on how to generate certificates

当您遵循该指南时,请注意一些问题:

  • 确保您的CA证书在您尝试将其他证书扩展到的期间有效。由CA证书签名的任何证书的有效性受CA证书的到期日期限制。
  • 如果CA证书本身的有效期太短,那么您就会陷入困境。更换该证书将需要修改所有kubeconfigs(运营商,集群组件)。
  • 出于与上述相同的原因,请确保您不会意外覆盖CA密钥/证书。
  • 更换apiserver的证书时,您需要重新启动apiserver。 apiserver不会自动重新读取证书。
相关问题
最新问题