我试图在tls中使用helm,所以我遵循https://github.com/kubernetes/helm/blob/master/docs/tiller_ssl.md生成了证书颁发机构,并使用它通过波纹管来生成客户端和服务器证书
openssl genrsa -out ./ca.key.pem 4096
openssl req -key ca.key.pem -new -x509 -days 7300 -sha256 -out ca.cert.pem -subj /CN=www.domain.com -extensions v3_ca
openssl genrsa -out ./tiller.key.pem 4096
openssl genrsa -out ./helm.key.pem 4096
openssl req -key tiller.key.pem -new -sha256 -out tiller.csr.pem -subj /CN=www.domain.com/emailAddress=userid@domain.com
openssl req -key helm.key.pem -new -sha256 -out helm.csr.pem -subj /CN=www.domain.com/emailAddress=userid@domain.com
openssl x509 -req -CA ca.cert.pem -CAkey ca.key.pem -CAcreateserial -in tiller.csr.pem -out tiller.cert.pem -days 365
openssl x509 -req -CA ca.cert.pem -CAkey ca.key.pem -CAcreateserial -in helm.csr.pem -out helm.cert.pem -days 365
我创建了一个不同的分till和掌舵证书,但是我在emailAddress=userid@domain.com中使用了不同的用户ID并安装了两个服务器证书,但是当我在服务器上使用客户端证书时,无论如何都可以验证任何客户端证书都可以与任何服务器证书一起使用,因此如何创建特定于一台服务器的客户端证书,而无需使用受密码保护的密钥。