如何安全,完整地更新k8s证书?

时间:2018-09-15 15:02:57

标签: kubernetes certificate

如何更新k8s证书:

k8s集群中的某些证书​​当前已过期,提示:

  

无法连接到服务器:x509:证书已过期或   尚未生效。看看在线集群主服务器。

ca.crtfront-proxy-ca.crt没有过期,但是front-proxy-client.crtapiserver-kubelet-client.crtapiserver.crt已经过期。

因此,手动传递现有的ca.key会在主服务器上Refer to here生成apiserver.crt。但是,发生了新的错误,提示:

  

服务器已要求客户端提供凭据

如何更新k8s集群的证书?

谢谢!

1 个答案:

答案 0 :(得分:2)

最新的kubeadm应该支持this

预期的命令:

renew all
renew apiserver
renew apiserver-kubelet-client
renew apiserver-etcd-client
renew front-proxy-client
renew etcd-server
renew etcd-peer
renew etcd-healthcheck-client

通常,您必须检查以上所有证书,也可以使用opensslcfssl并使用/etc/kubernetes/pki/ca.pem中的CA手动更新它们。

相关问题
最新问题