Kubernetes集群证书过期处理：更新kubeadm生成的证书有效期为10年

最新推荐文章于 2025-01-13 18:36:16 发布

心之向往！

最新推荐文章于 2025-01-13 18:36:16 发布

阅读量656

点赞数 1

CC 4.0 BY-SA版权

文章标签： kubernetes 容器云原生编程

本文链接：https://blog.youkuaiyun.com/TechBurst/article/details/132329654

编程专栏收录该内容

353 篇文章 ¥29.90 ¥99.00

订阅专栏

本文详细介绍了如何通过编程方式更新由kubeadm生成的Kubernetes集群证书有效期至10年，包括创建新CA证书、生成CSR、用新CA签署证书以及更新配置文件，确保集群安全性和稳定性。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

Kubernetes集群证书过期处理：更新kubeadm生成的证书有效期为10年

在Kubernetes集群中，证书是确保安全通信和身份验证的重要组成部分。然而，证书也有一个有效期限，并且在到期之前需要进行更新。默认情况下，kubeadm生成的证书有效期为1年。本文将介绍如何通过编程的方式修改kubeadm生成的证书有效期为10年，以确保持续的安全性和稳定性。

首先，我们需要了解Kubernetes证书的生成过程。Kubernetes使用自签名的CA证书来签署各种证书，包括kube-apiserver、kubelet、kube-proxy等。这些证书由kubeadm工具自动创建和管理。

要更新证书的有效期，我们可以通过以下步骤实现：

Step 1: 创建新的CA证书

由于kubeadm生成的证书是由CA证书签名的，我们需要首先创建一个新的自签名CA证书，其有效期为10年。我们可以使用OpenSSL库来生成新的CA证书。

openssl genrsa -out new-ca.key 2048
openssl req -x509

了解本专栏

订阅专栏解锁全文

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

心之向往！

关注关注

1
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

订阅专栏

k8s集群证书过期处理，更新kubeadm生成的证书有效期为10年

隔壁老瓦的专栏

05-08

5915

该脚本用于处理已过期或者即将过期的kubernetes集群证书 kubeadm生成的证书有效期为为1年，该脚本可将kubeadm生成的证书有效期更新为10年该脚本只处理master节点上的证书：kubeadm默认配置了kubelet证书自动更新，node节点kubelet.conf所指向的证书会自动更新小于v1.17版本的master初始化节点(执行kubeadm init的节点) ku...

编译kubeadm使生成证书有效期为100年

janbar的博客

07-11

779

目录问题编译检查结果问题当我使用kubeadm部署成功k8s集群时在想默认生成的证书有效期是多久，如下所示 /etc/kubernetes/pki/apiserver.crt #1年有效期 /etc/kubernetes/pki/front-proxy-ca.crt #10年有效期 /etc/kubernetes/pki/ca.crt ...

参与评论您还未登录，请先登录后发表或查看评论

kubeadm修改证书有效期

屈帅波的技术博客

09-20

2769

如果更新k8s版本会默认更新证书检查证书有效期（一部分10年一部分1年） openssl x509 -in apiserver.crt -text -noout 1、go 环境部署 https://studygolang.com/dl wget https://dl.google.com/go/go1.12.7.linux-amd64.tar.gz tar -zxvf go1.12.1.l...

k8s证书延长为10年（kubeadm安装k8s1.18.12）

qq_37181884的博客

07-19

896

1、在github上下载对应的源码包，并上传到linux中 2、配置go的基础环境（k8s1.18.12需要go1.13以上的版本）我用的go1.15 需求配置go1.15.11.linux-amd64.tar.gz 配置环境变量 3、修改配置文件的证书时间找到CertificateValidity这个关键字，默认是1年，我已修改为10年保存文件注意：由于ca证书默认是10年，所以不用修改如要修改，位置在/root/kubernetes-1.18.12...

kubeadm方式部署的k8s修改证书年限

奈斯菟咪踢呦

06-14

1794

kubeadm方式部署的k8s修改证书年限

Kubernetes集群延长证书过期时间至10年or100年（借助大神脚本，一键封神）---- 亲测有效

oopxiajun博客专栏

09-24

1693

这有效期一年，太憋屈了。

kubernetes集群更换证书(设置100年证书)

菜鸟运维升级之路

04-14

1830

操作系统: centos7.9 x86_64安装方式: kubeadm。

Kubernetes kubeadm 证书到期，更新证书

大漠知秋的加油站

08-27

9293

Kubernetes kubeadm 证书到期，更新证书版本服务版本 CentOS 7.8 Kubernetes 1.18.x 证书问题可能很多人在一开始学习 k8s 的时候，没有注意过证书的问题，在使用 kubeadm 安装 k8s 单机/集群的过程中就是一路往下，如果是学习或者测试使用，使用完毕之后就把虚拟机或者临时云服务器删除了，那也不会发现证书问题。如果这个 k8s 环境要使用 1 年以上，就会碰到这个问题，因为默认证书有效期为 1 年，CA 根证书是 10 年：

通过脚本将kubeadm安装的k8s证书延期10年

甄能忽悠的博客

05-19

2885

通过脚本将kubeadm证书延期10年前言 kubernetes 集群证书是各个组件交互的一个凭证，证书过期之后回直接影响到集群的使用，且kubeadm的证书默认有效期是1年，因此证书做延期，我们义不容辞。检查下当前证书的有效期 [root@k8s-master ]# kubeadm alpha certs check-expiration [check-expiration] Reading configuration from the cluster... [check-expiration]

修改k8s证书可用时限

wwe978284618的博客

12-27

476

1、go 环境部署 wget https://dl.google.com/go/go1.12.7.linux-amd64.tar.gz tar -zxvf go1.12.1.linux-amd64.tar.gz -C /usr/local vi /etc/profile export PATH=$PATH:/usr/local/go/bin source /etc/profile 2、下载源码 c...

kubeadm证书过期问题

qq_23191379的博客

04-07

987

该脚本用于处理已过期或者即将过期的 kubernetes 集群证书该脚本适用于所有 k8s 版本集群证书更新(使用 kubeadm 初始化的集群) kubeadm 生成的证书有效期为 1 年，该脚本可将 kubeadm 生成的证书有效期更新为 10 年该脚本只处理 master 节点上的证书，node 节点的 kubelet 证书默认自动轮换更新，无需关心过期问题，只需关心 master 节点上的证书即可 1. 使用说明该脚本仅需要在 master 节点执行，无需在 node 节点执行若没有 e

K8S（kubeadm版）更新证书

ArrogantB的博客

03-18

2831

k8s证书过期更换，kubeadm方式更换证书

Kubernetes1.28 编译 kubeadm修改证书有效期到 100年.并更新k8s集群证书

菜鸟运维升级之路

01-13

1291

kubeadm 默认证书为一年，一年过期后会导致 api service 不可用，使用过程中会出现：x509: certificate has expired or is not yet valid.错误。为了防止过期后未及时替换证书的情况出现，建议在部署k8s集群前就编译好100年的kubeadm组件，避免后续重复替换证书步骤已经测试适用于1.28版本,编译机器是麒麟V10 SP2 x86_64架构。

修改kubeadm v1.17.4 证书有效期为永久有效

小米bb的博客

05-20

1018

1. 下载go二进制包并配置环境 [maaiqiang@localhost ~]$ cd /usr/local/src/ [maaiqiang@localhost ~]$ wget https://dl.google.com/go/go1.13.8.linux-amd64.tar.gz [maaiqiang@localhost ~]$ tar -C /usr/local -xzf go1.13.8...

k8s根ca证书最多10年调整为100年或任意时间

蛋疼的NICK

06-24

3251

Kubernetes 官方提供了 kubeadm 工具安装 kubernetes 集群，使用这个工具安装集群非常便捷，使部署和升级 Kubernetes 变得简单起来。不过该工具有点坑的就是，使用其安装的 kubernetes 集群的大部分证书有效期只有一年，需要在证书过期前，使用更新操作更新集群，使证书的有效期再续一年。如果忘记这个操作，那么在使用过程中证书到期将导致集群不可用，应用无法访问，急急忙忙解决也需要半天时间，这个问题是致命的。不过实际情况下，在现网环境中大部分人追求稳定，一般不会大改 Kube

kubeadm证书过期更新

V_zhangyang的博客

04-16

449

执行时请使用 ./update-kubeadm-cert.sh all 或者 bash update-kubeadm-cert.sh all ，不要使用 sh update-kubeadm-cert.sh all，因为某些 Linux 发行版 sh 并不是链接到 bash，可能会不兼容。该脚本只处理 master 节点上的证书，node 节点的 kubelet 证书默认自动轮换更新，无需关心过期问题，只需关心 master 节点上的证书即可。#ca证书有效期10年，apiserver证书有效期1年。

【Kubernetes】关于K8s集群证书过期问题的处理过程记录

cnskylee的博客

09-28

3276

一个相对完整的思路，处理k8s集群证书过期问题。

kubernetes集群证书过期处理

BY_xiaopeng的博客

10-17

729

kubernetes certs

centos7，k8s部署高可用集群 3个master节点和1个work节点， kubectl、kubeadm、kubelet这些使用1.27版本，container使用版本跟他们兼容，网络插件就用calico