cfssl 自签证书

创建 CA 证书 和 秘钥

为确保安全，kubernetes 系统各组件需要使用 x509 证书对通信进行加密和认证。
CA (Certificate Authority) 是自签名的根证书，用来签名后续创建的其它证书。

1. 安装 cfssl 工具集

# cfssl 自签证书
需要 3 个软件
cfssl：证书签发
cfssljson：将 cfssl 生成的证书（json 格式）变为文件承载式证书
cfssl-certinfo：验证查看证书的信息

wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -O /usr/local/bin/cfssl
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -O /usr/local/bin/cfssljson
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -O /usr/local/bin/cfssl-certinfo
chmod +x /usr/local/bin/cfssl /usr/local/bin/cfssljson /usr/local/bin/cfssl-certinfo
ls /usr/local/bin/

2. 创建根证书 (CA)

CA 证书是集群所有节点共享的，只需要创建一个 CA 证书，后续创建的所有证书都由它签名。

2.1 创建配置文件

CA 配置文件用于配置根证书的使用场景 (profile) 和具体参数 (usage，过期时间、服务端认证、客户端认证、加密等)，后续在签名其它证书时需要指定特定场景。

mkdir /k8s/etcd-cert -p
cd /k8s/etcd-cert

cat > ca-config.json <

2.2 创建证书签名请求文件（根证书）

cat > ca-csr.json <

2.3 生成 CA 证书和私钥

cfssl gencert -initca ca-csr.json | cfssljson -bare ca
ls

ca.pem：根证书
ca-key.pem：根证书的私钥

3. 分发证书文件

cat > server-csr.json <