签发证书-自签证书步骤

1、在仓库虚拟机10.4.7.14中下载生成证书的cfssl相关文件

wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -O /usr/bin/cfssl
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -O /usr/bin/cfssl-json
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -O /usr/bin/cfssl-certinfo
chmod +x /usr/bin/cfssl*

记录一个坑。。。发现DNS一会可以解析一会不能解析，重启named才会好。查看日志发现存在主机名冲突。

查资料发现为avahi-daemon服务的问题，systemctl stop avahi-daemon和systemctl disable avahi-daemon后正常。这是个系统自带的快速分配主机名和IP之类资源的服务。跟我自建的DNS和主机名有冲突。

今天发现又不能解析了，能解析baidu.com等常见域名，无法解析pkg.cfssl.org域名。。。可能是自建DNS解析范围的问题，先mark一下后面研究一下。在ifcfg-ens33中添加dns2=114.114.114.114重启网卡后可以正常解析pkg.cfssl.org

2、准备配置文件

/opt/certs/ca-csr.json

{
  "CN": "kubernetes-yanc",
  "hosts": [
  ],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN"
      "ST": "beijing",
      "L": "beijing",
      "O": "k8s",
      "OU": "system"
    }
  ],
  "ca": {
    "expiry": "438000h"
  }
}

C-国家，ST-省，L-城市，O-公司，OU-组织
3、生成证书文件

cfssl gencert -initca ca-csr.json|cfssl-json -bare ca