10,kubernetes-证书有效期修改

1,证书有效期问题

kubeadm初始化k8s集群,签发的CA证书有效期默认是10年,签发的apiserver证书有效期默认是1年,到期之后请求apiserver会报错,使用openssl命令查询相关证书是否到期。

一下延长证书有效期的方法适合kubernetes1.14、1.15、1.16、1.17、1.18版本。

2,查看证书有效期

2.1 查看CA证书有效期

# openssl x509 -in /etc/kubernetes/pki/ca.crt -noout -text  |grep Not
            Not Before: Jul 20 06:56:37 2020 GMT
            Not After : Jul 18 06:56:37 2030 GMT

可以看到签发年限为10年

2.2 查看apiserver证书有效期为

# openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text  |grep Not
            Not Before: Jul 20 06:56:37 2020 GMT
            Not After : Jul 20 06:56:37 2021 GMT

可以看到签发年限为1年,所以生产中需要修改证书年限

3,延长证书年限

3.1 下载脚本工具

git clone https://github.com/kubernetes/kubernetes.git

3.2 如果有多个master节点,需要拷贝到每一个master节点.均执行以下操作:

chmod +x update-kubeadm-cert.sh
./update-kubeadm-cert.sh all

查询到Pod节点正常启动,证明证书签发正常:

3.3 查看apiserver的证书是否延长:

# openssl x509 -in /etc/kubernetes/pki/ca.crt -noout -text  |grep Not
            Not Before: Jul 20 06:56:37 2020 GMT
            Not After : Jul 18 06:56:37 2030 GMT

已经延长至10年

你可能感兴趣的:(10,kubernetes-证书有效期修改)