kubernetes-证书过期,重建证书

最新推荐文章于 2025-07-15 16:32:08 发布
原创 最新推荐文章于 2025-07-15 16:32:08 发布 · 4.2k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

kubernetes 版本:1.9.x,安装方式,使用二进制文件,手工安装(参考:https://github.com/opsnull/follow-me-install-kubernetes-cluster/tree/v1.6.2);

由于当初安装kubernetes,制作证书的时候,设置了证书的有效期只有1年。到一年后,所有节点都变为noready状态。检查kubelet服务的日志,提示认证master api错误,再查询证书,发现证书的期效已经过期了。

mac-temp:~ my$ kubectl get all
error: {batch  cronjobs} matches multiple kinds [batch/v1beta1, Kind=CronJob batch/v2alpha1, Kind=CronJob]

1.ca
创建证书:
cfssl gencert -initca ca-csr.json | cfssljson -bare ca
把ca和ca-config 分发到master和node节点
cp ca*.pem /etc/kubernetes/ssl/
cp ca-config.json /etc/kubernetes/ssl/ 

2.etcd :
# journalctl -xe -u etcd
6月 22 20:18:57 etcd-host0 etcd[1999]: 7cdce46dc25233db is starting a new election at term 14888
6月 22 20:18:57 etcd-host0 etcd[1999]: 7cdce46dc25233db became candidate at term 14889
6月 22 20:18:57 etcd-host0 etcd[1999]: 7cdce46dc25233db received MsgVoteResp from 7cdce46dc25233db at term 14889
6月 22 20:18:57 etcd-host0 etcd[1999]: 7cdce46dc25233db [logterm: 9666, index: 2786386] sent MsgVote request to e89e3672c1e28683 at term 14889
6月 22 20:18:57 etcd-host0 etcd[1999]: 7cdce46dc25233db [logterm: 9666, index: 2786386] sent MsgVote request to 9fab81cb90be4c1e at term 14889
6月 22 20:18:57 etcd-host0 etcd[1999]: failed to write 9fab81cb90be4c1e on pipeline (x509: certificate has expired or is not yet valid)
6月 22 20:18:57 etcd-host0 etcd[1999]: failed to write e89e3672c1e28683 on pipeline (x509: certificate has expired or is not yet valid)
6月 22 20:18:57 etcd-host0

最低0.47元/天 解锁文章

新学期VIP享超值加赠
运维案例之记一次Kubernetes集群证书过期或延期操作处理实践指南
WeiyiGeek 唯一极客IT知识分享
02-06 935
在年后上班的第一天,我像往常一样,登录到K8S集群之中依次检查应用,在检查开发测试环境的k8s集群时,发现执行kubectl命令报证书过期错误,顿时心情都不好了,却也无可奈何,只能进行证书续签了,由于是高可用集群遇到了许多坑,为了方便自己以及广大的运维工作者,解决相关问题,遂整理了此篇文章。# 连接 Api-server 失败,报证书过期不可用。2.实践环境# 集群版本# 集群节点# 论保存过程配置文件的重要性,在搭建k8s集群时建议备份资源清单。
Kubernetes 认证证书过期处理
山巅
12-15 652
kubesphere 安装的jenkins,因为在页面上操作没有响应,我想重启下,结果发现删除原来的容器后,没法自动重新创建容器。如下图:里面的pod删除了,不会自动生成。
【笔记】Kubernetes 中手动及自动化证书更换步骤及注意事项
努力,学习!
06-11 764
如果 Kubernetes API 服务器的 TLS 证书过期,会导致客户端(如 kubectl)无法通过安全连接访问集群,需要及时更换证书。以下是 手动更换证书 的通用步骤(适用于非自动证书管理的集群,如 kubeadm 部署的集群)。
Kubernetes证书过期问题
weixin_44166117的博客
07-15 367
Kubernetes证书过期问题处理摘要 当执行kubectl命令时出现x509证书过期错误,检查发现集群证书已于2024年3月7日过期。处理方法包括: 备份现有证书和配置文件 使用kubeadm certs renew all命令更新所有证书 重启kube-apiserver等核心组件以加载新证书 验证新证书有效期确认更新成功 关键点:定期检查证书有效期,建议建立证书到期监控机制,避免因证书过期导致集群不可用。更新后需重启相关组件才能生效。
关于kubernetes1.9证书过期(certificate has expired or is not yet valid)
qq_25934401的博客
04-08 3930
胆战心惊的一天 今天突然收到告警,k8s的节点NotReady,我靠!吓了一身冷汗,遂远程登录上去查看,果然都是notready!这一吓真是不轻啊,要知道所有node节点挂掉,等于整个集群挂掉了,线上的服务都不能访问。当时要是采访我当时在想什么,我只能高冷的回答你:“啥都没想”,当时真是脑袋一片空白。 不过呢,辛好留了一手,使用k8s之前,也用虚拟机把k8s上的服务也部署了一遍,就是防止这种现象出...
[k8s] kubectl返回certificate has expired or is not yet valid错误
Yin_Bill_Wang的专栏
08-12 4886
前两天在k8s master上执行kubectl get pod时,返回x509 certificate has expired or is not yet valid错误。 原因 使用kubeadm安装k8s时,默认生成的client certificate的有效期是1年。 可以使用kubeadm certs check-expiration或kubeadm alpha certs check-expiration(较早的kubeadm版本中,该命令还是在alpha阶段)查看当前证书的信息。 后续命令为了
k8s v1.16.3,Unable to connect to the server: x509: certificate has expired or is not yet valid
牛奔的博客
03-27 789
前言 kubernetes 版本为 v1.16.3 使用 kubelet get node 后报错: x509: certificate has expired or is not yet valid ,提示证书过期。 解决 检查证书何时过期 kubeadm alpha certs check-expiration CERTIFICATE EXPIRES ...
k8s报错:certificate has expired or is not yet valid
JFENG14的博客
01-04 1598
路径下,由 kubeadm 生成的客户端证书在 1 年后到期,因此需要定时更新证书,否则证书到期会导致整个集群不可用。K8S 各个组件需要与 api-server 进行通信,通信使用的证书都存放在 /etc/kubernetes/重启apiserver、controller-manager、scheduler、etcd。使用更新后的 admin.conf 替换 /root/.kube/config 文件。再次查看证书有效期,有效期变为一年。
docker x509: certificate has expired or is not yet valid
HF的博客
08-31 375
[root@k8s1 ingress]# docker pull nginx:1.15.4 1.15.4: Pulling from library/nginx 802b00ed6f79: Pulling fs layer c16436dbc224: Pulling fs layer 683eac851b28: Pulling fs layer error pulling image configuration: Get https://production.cloudflare.docker.co.
kubernetes-证书过期重建证书后出现的kubelet证书过期问题
kozazyh的专栏
12-06 9081
由于初期,创建证书的期限只有一年,后来经过重建10年的证书期限后(参考:kubernetes-证书过期重建证书),稳定运行一年后,再次出现证书问题: 1. 故障的表现: kubectl get node NAME STATUS ROLES AGE VERSION 10.2.2.120 ...
Kubernetes】关于K8s集群证书过期问题的处理过程记录
cnskylee的博客
09-28 3307
一个相对完整的思路,处理k8s集群证书过期问题。
k8s踩坑(三)、kubeadm证书/etcd证书过期处理
热门推荐
ywq935的博客
03-08 2万+
故障现象 使用kubeadm部署的集群,在运行了一年之后今天,出现k8s api无法调取的现象,使用kubectl命令获取资源均返回如下报错: Unable to connect to the server: x509: certificate has expired or is not yet valid 故障排查 查看apiserver.crt证书的签署日期和过期日期: root@9027:...
k8s集群证书延期
liu_阳的博客
01-28 2433
k8s集群证书延期 延期前有几个前提条件 1、kubeadm需要调整,修改证书过期时间,把时间延长到100年 2、ca.crt我这里是调整后的100年,就没有调整 补充;kubelet延期为涉及 本次我的集群证书延期,是在这2个前提条件完全满足的情况下进行的 具体操作如下: 1、备份k8s全目录,/etc/kubernetes cp -r /etc/kubernetes /etc/kubernetes-bak 2、备份kubelet的目录(当时备份时,由于是第一次搞,考虑到万一kubelet受到影响,崩
关于k8s证书过期问题
qq_43654518的博客
04-21 378
照常打开服务器连接准备换包,突然发现k8s命令无法使用了,报错如下
[k8s]二进制部署k8s 更换etcd证书(100年有效期)
yyq2272的博客
04-16 670
[k8s]二进制部署k8s 更换etcd证书(100年有效期)
k8s误删除证书文件修复
u011659193的博客
12-16 2138
不小心将测试服务器上k8s一个节点的所有证书文件删除,从另一台机器将证书文件拷贝过来启动运行时节点状态总是NotReady。 排查过程 首先查看所有服务的运行状态,发现所有服务都是running状态,进一步查看发现kubelet服务有报错信息。显示如下: kubelet[4696]: E1216 00:26:17.345636 4696 kubelet_node_status.go:106...
k8s证书过期的解决方案
是我的温柔啊
03-29 1134
注意:需要重启pod ,例如: kubectl delete po -n kube-system metrics-server-5d497bdd7d-tlzz7。首先需要在linux中安装openssl,这点不多做赘述。注意:证书更新后,需要重启master节点。
Kubernetes- 重新申请证书 @20210227
k4nz
02-27 1216
问题描述 在Kubernetes Cluster中,在集群初时化时创建的证书壹年到期。到期之后,集群的各个组件之间将无法访问。 环境概述 属性 信息 系统环境 CentOS Linux release 7.4.1708 (Core) 软件版本 Kubernetes v1.12.1 解决办法 通过延长证书期限即可解决问题…………无需重新生成证书。 第一步、备份配置文件(主机节点) 运维工作千万条,数据备份第一条: #!/bin/sh cp -drv /etc.
Puppet SSL证书协商错误 记录
天涯的浪子
11-06 1133
今天agent在拉取配置清单的时候报错, 错误如下 [root@server214 ~]#puppet agent -t --server server212.localdomain Info: Creating a new SSL key for server214.localdomain Info: Caching certificate for server214.localdomain...
KubeSphere API 证书过期后如何更新?
最新发布
07-26
<think>我们正在讨论KubeSphere API证书过期后的更新方法。根据引用[2]的内容,我们知道证书的路径需要根据实际情况填写,并且更新后需要重启kube-apiserver服务。同时,引用[4]提到在安装过程中可能遇到镜像拉取问题,但这里我们关注的是证书更新。 在Kubernetes集群中,KubeSphere的API证书通常依赖于Kubernetes API Server的证书。因此,当证书过期时,我们需要更新Kubernetes API Server的证书。 步骤: 1. 使用kubeadm更新证书: ```bash kubeadm certs renew apiserver ``` 这条命令会更新API Server的证书和密钥。 2. 重启API Server服务: 由于API Server是以静态Pod的形式运行,我们可以通过删除其Pod来触发重启(kubelet会自动重新创建)。首先,确定API Server Pod的名称: ```bash kubectl get pods -n kube-system | grep kube-apiserver ``` 然后删除该Pod(注意:这将导致API Server短暂不可用,请确保在维护窗口操作): ```bash kubectl delete pod <apiserver-pod-name> -n kube-system ``` 或者,如果集群是使用系统服务(如systemd)管理的,则可以通过重启kubelet服务来触发(但通常静态Pod的删除和重建kubelet自动完成,所以直接删除Pod即可): ```bash systemctl daemon-reload && systemctl restart kube-apiserver ``` 但是注意,在kubeadm部署的集群中,API Server通常作为静态Pod运行,因此重启kubelet也会导致所有静态Pod重启,但这样影响较大。所以更推荐直接删除API Server的Pod。 3. 验证证书是否更新: ```bash openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text | grep Not ``` 检查输出的开始和结束时间,确保证书已更新。 4. 更新kubeconfig文件(如果需要): 有时,客户端kubeconfig文件中的证书也可能过期。我们可以使用以下命令更新: ```bash kubeadm init phase kubeconfig admin --config /etc/kubernetes/kubeadm-config.yaml mv /etc/kubernetes/admin.conf $HOME/.kube/config chown $(id -u):$(id -g) $HOME/.kube/config ``` 然后重新设置kubectl的上下文。 5. 在KubeSphere中,如果使用了自定义的证书,也需要确保这些证书得到更新。KubeSphere控制台可能使用自己的证书,但通常它复用Kubernetes证书。 注意:在更新证书后,KubeSphere控制台可能因为证书缓存而出现短暂的问题,可以尝试清除浏览器缓存或重启浏览器。 如果KubeSphere组件(如ks-apiserver)也使用了相同的证书,那么它们可能不需要单独更新,因为它们使用的是Kubernetes的API Server证书。但是,如果KubeSphere有自己的证书(例如,通过Ingress暴露控制台时使用的证书),那么需要单独更新Ingress的证书。 对于KubeSphere控制台通过Ingress暴露的情况,更新证书的方法: 1. 将新的证书和密钥保存为Secret: ```bash kubectl create secret tls ks-console-secret --cert=新的证书文件 --key=新的密钥文件 -n kubesphere-system --dry-run=client -o yaml | kubectl apply -f - ``` 2. 更新Ingress资源以引用新的Secret(如果之前没有引用,或者需要更新): ```bash kubectl edit ingress ks-console -n kubesphere-system ``` 在TLS部分,指定新的Secret名称。 3. 等待Ingress控制器重新加载配置。 以上步骤应该能够解决KubeSphere API证书过期的问题。 注意:在操作前,请备份重要数据,并确保在维护窗口进行。 如果用户遇到问题,可以参考KubeSphere社区双周报[^1]中的贡献者经验,或者查看社区是否有类似问题的解决方案。 相关问题: 1. 如何检查Kubernetes集群中的证书过期时间? 2. KubeSphere控制台无法访问,如何排查证书问题? 3. 如何为KubeSphere配置自定义域名和证书? 4. 在KubeSphere中更新证书后,为什么控制台仍然显示不安全? 5. 如何更新Kubernetes集群中其他组件的证书(如etcd)?</think>### KubeSphere API 证书过期更新方法 当 KubeSphere API 证书过期时,可按以下步骤更新(**操作需在集群 master 节点执行**): --- #### 1. **证书续期** ```bash # 续期所有 Kubernetes 控制平面证书 sudo kubeadm certs renew all # 单独续期 API Server 证书 sudo kubeadm certs renew apiserver ``` > 证书默认位置:`/etc/kubernetes/pki/apiserver.{crt,key}`[^2] --- #### 2. **重启 API Server** ```bash # 重启 API Server 服务 sudo systemctl daemon-reload && sudo systemctl restart kube-apiserver # 验证服务状态 sudo systemctl status kube-apiserver ``` > 重启后新证书生效[^2] --- #### 3. **更新 Kubeconfig** ```bash # 更新管理员 kubeconfig sudo kubeadm init phase kubeconfig admin --config /etc/kubernetes/kubeadm-config.yaml # 覆盖旧配置 mkdir -p $HOME/.kube sudo cp /etc/kubernetes/admin.conf $HOME/.kube/config sudo chown $(id -u):$(id -g) $HOME/.kube/config ``` --- #### 4. **验证证书状态** ```bash # 检查证书有效期 openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -dates # 验证 API 连通性 kubectl cluster-info ``` --- #### 5. **KubeSphere 控制台更新** 如果控制台证书过期(非 Kubernetes API 证书): ```bash # 更新控制台证书 Secret kubectl create secret tls ks-console-secret \ --cert=新的证书文件 \ --key=新的密钥文件 \ -n kubesphere-system \ --dry-run=client -o yaml | kubectl apply -f - # 重启控制台服务 kubectl rollout restart deployment ks-console -n kubesphere-system ``` > **注意**:操作前务必备份 `/etc/kubernetes/pki` 目录。若遇到问题可通过 `kubectl logs -n kubesphere-system` 查看组件日志[^4] --- ### 相关问题 1. 如何检查 Kubernetes 集群所有证书过期时间? 2. 更新证书后 KubeSphere 控制台仍提示不安全如何解决? 3. 如何为 KubeSphere API 配置自定义 CA 证书? 4. 证书更新导致 `kubectl` 命令失败应如何恢复? 5. 多节点集群中如何同步更新所有 master 节点的证书
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值