我使用 kops 在aws上创建了一个集群。
但是,我找不到用作/由证书颁发机构用于生成客户端证书的文件。
默认情况下kops创建这样的东西吗?
如果是这样,创建客户端证书的建议过程是什么?
kops 文档对此不是很清楚。
我过去是这样做的:
- 从 S3 下载
kops生成的 CA 证书和签名密钥:-
s3://<BUCKET_NAME>/<CLUSTER_NAME>/pki/private/ca/*.key -
s3://<BUCKET_NAME>/<CLUSTER_NAME>/pki/issued/ca/*.crt
-
- 生成客户端密钥:
openssl genrsa -out client-key.pem 2048 -
生成企业社会责任:
openssl req -new -key client-key.pem -out client-csr.pem -subj "/CN=<CLIENT_CN>/O=dev"` -
生成客户端证书:
openssl x509 -req -in client-csr.pem -CA <PATH_TO_DOWNLOADED_CA_CERT> -CAkey <PATH_TO_DOWNLOADED_CA_KEY> -CAcreateserial -out client-crt.pem -days 10000 - Base64 对客户端密钥、客户端证书和 CA 证书进行编码,并在
config.yml中填充这些值,例如 - 将填充的
config.yml分发给开发人员。
5 和 6 显然可以通过您想要的任何方式分发,不需要为您的开发人员制作config.yml。