k3s生成新证书,解决unable to connect to the server: x509: certificate is valid for xx.xx.xx.xx的问题

最新推荐文章于 2025-07-11 07:59:10 发布
最新推荐文章于 2025-07-11 07:59:10 发布
阅读量861 收藏 3
点赞数 2
CC 4.0 BY-SA版权
分类专栏: k8s 文章标签: 云原生 k8s 云计算 kubernetes 容器 kubelet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_37325838/article/details/140653055

        最近在使用阿里云流水线发布应用的时,发现 k3s 默认的证书仅针对所在服务器的内网有效,在流水线添加集群的时候会报错 unable to connect to the server: x509: certificate is valid for 10.43.0.1, 127.0.0.1, 172.30.186.237, ::1, not xx.xx.xx.xx(你的外网 ip),这时候需要重新给你的公网ip 生成一下证书,具体操作如下:

1.  先停掉 k3s 服务

sudo systemctl stop k3s

2.  备份现有证书

sudo cp /var/lib/rancher/k3s/server/tls/server-ca.crt /var/lib/rancher/k3s/server/tls/server-ca.crt.bak
sudo cp /var/lib/rancher/k3s/server/tls/server-ca.key /var/lib/rancher/k3s/server/tls/server-ca.key.bak
sudo cp /var/lib/rancher/k3s/server/tls/server.crt /var/lib/rancher/k3s/server/tls/server.crt.bak
sudo cp /var/lib/rancher/k3s/server/tls/server.key /var/lib/rancher/k3s/server/tls/server.key.bak

3. 编辑 k3s 配置文件

 编辑配置文件:

最低0.47元/天 解锁文章

200万优质内容无限畅学
Rancher入门指南-无法连接到服务器:x509: 证书只有效于ingress.local,而非编程
DevProPlus的博客
08-16 1091
当遇到Rancher无法连接服务器的问题时,特别是x509证书错误时,我们可以通过检查证书配置、更证书配置、配置自定义域名、检查防火墙设置以及检查配置文件来解决问题。在使用Rancher时,有时会遇到连接服务器的问题,其中之一就是x509证书错误。最后,我们还要检查Rancher的配置文件是否正确设置了我们尝试连接的域名。b. SSL证书:为自定义域名获取正确的SSL证书,并将其配置到Rancher服务器。e.Rancher服务器的证书配置文件,将证书路径指定到正确的位置。
【K3s】第39篇 解决couldn‘t get resource list for metrics.k8s.io/v1beta1: the server is currently unable ..
Fanjufei的博客
06-19 1979
【K3s】第39篇 解决couldn't get resource list for metrics.k8s.io/v1beta1: the server is currently unable ..
Unable to connect to the server: x509: certificate is valid for问题解决
doublepg13的博客
10-23 3992
我们的kubernetes的apiserver-advertise-address是一个内网IP,默认情况下,kubernetes自建的CA会为apiserver签发一个证书证书的默认可访问的是内网IP、kuberneteskubernetes.default kubernetes.default.svc、kubernetes.default.svc.cluster.local,不包含设备的外网IP。通过如下命令查看kubernetes的admin.conf中的证书的有效期,看是否有效。
10 年免换!K3S 证书有效期终极延长方案,运维成本直降 90%
最新发布
easylife206的专栏
07-11 939
默认情况下,K3S 中的系统证书有效期为 12 个月,临近过期后在服务重启时会自动轮换。然而,在实际部署中,我们常常希望将证书有效期设置得更长,避免频繁运维。欢迎转发这篇文章给你的运维团队伙伴,也欢迎在评论区分享你的使用体验和技巧。的最大值为 3650(即 10 年),因为 K3S 内部 CA 的最大有效期也是 10 年。目前群里已加入了不少行业内的大神,有兴趣的同学可以加入和我们一起交流技术,在。更多有趣的互联网鲜事,关注「奇妙的互联网」视频号全了解!,你可以大幅延长证书的生命周期,降低运维成本。
K8S 常见问题Unable to connect to the server_ x509_ certificate is valid for 问题解决
srebro.cn | 运维小弟
09-06 1270
k8s的apiserver 需要暴露在公网给阿里云的云效托管使用,之前在部署K8S签发证书的时候,写的是内网的地址,,默认情况下,kubernetes自建的CA会为apiserver签发一个证书证书的默认可访问的是内网IP、kuberneteskubernetes.default kubernetes.default.svc、kubernetes.default.svc.cluster.local,不包含设备的外网IP。所以直接通过admin.conf去访问kubernetes是不可能的。
解决k8s集群 Unable to connect to the server: x509: certificate is valid for xxx, not xxx问题
weixin_39518516的博客
08-01 2029
为了能使本地能连接k8s集群更好的测试client-功能,在服务器上为本地签发了kubeconfig文件,放到本地之后出现如下的错误。从上面可以看出ip中并没有报错信息中的192.168.2.8这个IP地址,所以需要重生成(截图为修改好的)。1、查看apiserver证书信息(master节点)为了保险起见,这里选择将证书移动到其他位置。3生成的apiserver证书
《S32K3xx Reference Manual》和《S32K3xx Data Sheet》
10-10
《S32K3xx Reference Manual》 NXP Semiconductors Document identifier: S32K3XXRM Reference Manual Rev. 3, 10/2021 《S32K3xx Data Sheet》 Rev. 3 — 10/2021 Data Sheet: Technical Data
dial tcp 10.96.0.1:443: connect: no route to host
qingcyb的博客
06-21 1505
1、创建Pod一直不成功,执行kubectl describe pod runtime-java-c8b465b98-47m82。可能是 iptables 规则乱了。
实测:重启服务器之后k8s启动失败报错Unable to connect to the server:x509: certificate has expired or is not yet valid
sfdst的博客
03-07 7529
文章目录1 问题描述(kubeadm证书/etcd证书过期处理)2 集群恢复方法3 手动替换apiserver证书3.1 备份证书和配置3.2 自备的kube-config.yaml文件4 通过脚本一键更证书(本次通过脚本更证书)5 启用自动轮换kubelet证书5.1 增加kubelet参数5.2 增加controller-manager参数5.3 创建rbac对象 1 问题描述(kubeadm证书/etcd证书过期处理) 重启了服务器,发现k8s启动失败,一直报错连接 Unable to regis
k8s Unable to connect to the server: x509: certificate is valid
05-25
k8s Unable to connect to the server: x509: certificate is valid for问题解决
kubernetes:Unable to connect to the server: x509
feiger的专栏
04-16 3821
背景: Unable to connect to the server: x509: certificate is valid for 10.96.0.1, 10.0.1.76, not 119.28.78.191 报错原因: Connection error: Get https://119.28.78.191:6443/api/v1/namespaces/default/pods?limit=500: x509: certificate is valid for 10.96.0.1, 10.0.1.7
Unable to connect to the server: x509: certificate is valid for kubernetes, kubernetes.default, kube...
拾级而上
03-26 2279
k8s部署问题简记 Unable to connect to the server: x509: certificate is valid for kubernetes, kubernetes.default, kubernetes.default.svc, kubernetes.default.svc.cluster, kubernetes.default.svc.cluster.lo...
Unable to connect to the server: x509: certificate has expired or is not yet valid
weixin_54104864的博客
06-15 6947
【代码】Unable to connect to the server: x509: certificate has expired or is not yet valid
Rancher入门到精通-2.0 Unable to connect to the server: x509: certificate is valid for ingress.local, not
热门推荐
隔壁老瓦的专栏
10-28 1万+
kubectl apply -f https://rancher.test.cn/v3/import/xlxwdf6fz6jtgrfcmscs79msn8dkmjbs87p42npgcktjkx2q7shpx5.yaml Unable to connect to the server: x509: certificate is valid for ingress.local, not ranch...
访问k8s集群出现Unable to connect to the server: x509: certificate is valid for xxx, not xxx问题解决【详细步骤】
marlinlm的博客
12-27 1万+
访问k8s集群出现Unable to connect to the server: x509: certificate is valid for xxx, not xxx问题解决
Get "https://reg.timinglee.org/v2/": tls: failed to verify certificate: x509: certificate signed by unknown authority
03-17
### TLS证书验证失败的原因分析 该问题的核心在于TLS连接过程中无法验证服务器端提供的SSL/TLS证书的有效性。具体表现为`x509: certificate signed by unknown authority`错误消息,这通常意味着客户端未能找到用于签名目标证书的信任根证书。 #### 可能原因 1. **缺少信任的CA证书** 客户端环境中未包含签发目标证书的CA(Certificate Authority)的公钥证书[^1]。 2. **环境差异导致的证书缺失** 在不同运行环境下(如ARM板子或Docker容器),可能由于基础镜像或操作系统配置的不同,导致默认的信任链不一致[^2]。 3. **自定义CA证书未导入** 如果使用的是一份由私有CA签发的证书,则需要手动将此CA证书添加到客户端的信任库中[^3]。 4. **Harbor或其他私有仓库的情况** 对于Harbor等私有仓库场景下拉取镜像时报此类错误,通常是因Harbor使用的是内部签发而非公共可信机构颁发的证书所致[^4]。 --- ### 解决方案 以下是几种常见的解决方案: #### 方法一:更系统的CA证书存储 确保目标平台上的受信CA列表是最的。可以通过安装最的操作系统的CA包来实现这一点。例如,在基于Debian/Ubuntu的Linux发行版上执行如下命令: ```bash apt-get update && apt-get install -y ca-certificates ``` 对于Alpine Linux为基础的Docker镜像,可采用以下方式同步最CA证书: ```bash apk add --no-cache ca-certificates ``` 如果是在特定硬件设备(比如ARM架构开发板)上遇到问题,确认其固件或者软件栈已预置标准CA集合;必要时手工复制通用CA文件至对应位置并刷缓存。 #### 方法二:加入自定义CA到应用层 当涉及非公开认证中心所发放的安全凭证时,需把相应CA追加进应用程序能够识别的位置。以Go语言为例,可通过设置环境变量指定额外路径加载这些资料: ```go import ( "crypto/tls" "crypto/x509" "io/ioutil" ) func loadCertPool() (*x509.CertPool, error) { certPool := x509.NewCertPool() pemData, err := ioutil.ReadFile("/path/to/custom-ca.crt") // 替换为实际CA文件地址 if err != nil { return nil, err } ok := certPool.AppendCertsFromPEM(pemData) if !ok { return nil, errors.New("failed to append custom CA certificates") } return certPool, nil } // 创建TLS配置实例,并关联上述池对象 config := &tls.Config{ RootCAs: loadCertPool(), } ``` 通过这种方式动态扩展程序内的信任链条。 #### 方法三:跳过证书校验 (仅限测试用途!) 虽然强烈反对在生产环境中关闭安全性检查机制,但在某些特殊调试阶段确实有必要暂时忽略这类警告信息。仍以前述Golang案例说明如何绕开验证流程: ```go transport := &http.Transport{ TLSClientConfig: &tls.Config{InsecureSkipVerify: true}, } client := &http.Client{Transport: transport} response, _ := client.Get("https://your-server-address/") defer response.Body.Close() bodyText, _ := ioutil.ReadAll(response.Body) fmt.Println(string(bodyText)) ``` 注意这种方法存在极大安全隐患,请谨慎对待! #### 方法四:针对Kubernetes/K3S中的Harbor集成调整 如果是面对类似k3s访问harbor私服遭遇相同状况的情形,考虑修改节点配置文件(/etc/rancher/k3s/config.yaml),增加参数指示接受未经证实的身份证明材料: ```yaml registries: mirrors: harbor.net.com: endpoint: - "https://harbor.net.com" config: authn: insecure_skip_tls_verify: true ``` 重启服务使更改生效即可消除困扰。 --- ### 总结 以上提供了四种应对策略分别适用于不同的业务需求和技术背景。推荐优先尝试方法一和方法二保持原有安全框架的同时解决问题;而最后两种则作为权宜之计供参考选用。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值