cfssl创建ca证书,调整ca证书的有效期

最新推荐文章于 2025-04-06 20:26:25 发布
原创 最新推荐文章于 2025-04-06 20:26:25 发布 · 2.4k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ssl

本文详细指导如何使用cfssl创建CA证书,包括生成CSR文件、配置签发策略,修改CA证书有效期,并演示了如何根据需求调整证书有效期,最终生成有效期为20年的ca证书。

1. 使用cfssl创建ca证书

1.1 生成ca证书的证书请求文件ca-csr.json

cfssl print-defaults csr > ca-csr.json
结果:

cat ca-csr.json 
{
    "CN": "example.net",
    "hosts": [
        "example.net",
        "www.example.net"
    ],
    "key": {
        "algo": "ecdsa",
        "size": 256
    },
    "names": [
        {
            "C": "US",
            "L": "CA",
            "ST": "San Francisco"
        }
    ]
}

1.2 创建cfssl的配置文件(其实对ca证书没什么用)

cfssl print-defaults config > ca-config.json
结果:

cat ca-config.json
{
    "signing": {
        "default": {
            "expiry": "168h"
        },
        "profiles": {
            "www": {
                "expiry": "8760h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "server auth"
                ]
            },
            "client": {
                "expiry": "8760h",
                "usages": [
                    "signing",
                    "key encipherment",
                    "client auth"
                ]
            }
        }
    }
}

1.3 创建ca证书

cfssl gencert -initca ca-csr.json |cfssljson -bare ca
结果:

cfssl gencert -initca ca-csr.json |cfssljson -bare ca
2021/12/07 17:18:29 [INFO] generating a new CA key and certificate from CSR
2021/12/07 17:18:29 [INFO] generate received request
2021/12/07 17:18:29 [INFO] received CSR
2021/12/07 17:18:29 [INFO] generating key: ecdsa-256
2021/12/07 17:18:29 [INFO] encoded CSR
2021/12/07 17:18:29 [INFO] signed certificate with serial number 347161065711743393599864539791099567853430930598

新创建的文件包括:
ca证书:ca.pem
ca私钥:ca-key.pem
ca证书请求文件:ca.csr

1.4 查看ca证书有效期

cfssl certinfo -cert ca.pem |grep not
结果

cfssl certinfo -cert ca.pem |grep not
  "not_before": "2021-12-07T09:13:00Z",
  "not_after": "2026-12-06T09:13:00Z",

可以看出来ca证书的有效期是5年。

2. 修改ca证书有效期

使用cfssl签发一般服务证书的时候可以通过ca-config.json中的profile参数配置服务证书的有效期。
配置ca证书的有效期需要在ca证书请求文件ca-csr.json配置。

2.1 配置方法:

ca-csr.json中添加字段: "CA":{"expiry":"175200h"},

如下:

{
    "CA":{"expiry":"175200h"},
    "CN": "example.net",
    "hosts": [
        "example.net",
        "www.example.net"
    ],
    "key": {
        "algo": "ecdsa",
        "size": 256
    },
    "names": [
        {
            "C": "US",
            "L": "CA",
            "ST": "San Francisco"
        }
    ]
}

2.2 重新生成ca证书

# 使用修改后的ca-csr.json创建ca证书
cfssl gencert -initca ca-csr.json |cfssljson -bare ca
2021/12/07 19:48:01 [INFO] generating a new CA key and certificate from CSR
2021/12/07 19:48:01 [INFO] generate received request
2021/12/07 19:48:01 [INFO] received CSR
2021/12/07 19:48:01 [INFO] generating key: ecdsa-256
2021/12/07 19:48:01 [INFO] encoded CSR
2021/12/07 19:48:01 [INFO] signed certificate with serial number 698387629496571533773096688804230393778863690470

# 确认ca证书有效期为20年。
cfssl certinfo -cert ca.pem |grep not
  "not_before": "2021-12-07T11:43:00Z",
  "not_after": "2041-12-02T11:43:00Z",

======== END ========

astzyj
关注
CFSSL制作ETCD证书
liuyuhui_gdtyj的博客
12-06 2031
找台CentOS7(10.3.8.234)来做CA制作自签名证书。 1、下载cfssl工具 wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -O cfssl -P /usr/local/bin/ wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -O cfssljson -P /usr/l...
查看证书有效期的命令
qq_40657367的博客
01-02 1365
后面的证书是我们当时创建证书的路径。
检查证书有效期
PlatoWG的博客
07-17 1160
背景 为防止证书过期导致的异常,需检查现有证书有效期 命令 opessl # openssl x509 -in server.pem -noout -dates notBefore=Jul 7 06:53:00 2020 GMT notAfter=Jul 5 06:53:00 2030 GMT cfssl cfssl-certinfo -cert server.pem ...
更改CA签发证书有效期
热门推荐
原野
09-29 1万+
更改由 Windows Server 2003 或 Windows 2000 Server 证书颁发机构 (CA) 签发的证书有效期限。 默认情况下,独立证书颁发机构 CA 签发的证书有效期是一年。一年之后证书即过期,其使用将不再受信任。但在某些情况下,您可能必须要覆盖由中介或发证 CA 所签发的证书的默认终止日期。 注册表中定义的有效期限会影响所有由独立 CA 和企业 CA 签发的证书。对于
k8s集群的CA证书过期处理
wzp1986的专栏
03-06 1695
不改变原CA的公私钥,安全地在线地更新集群CA
CFSSL: 证书管理工具:2:创建CA私钥与CA证书
知行合一 止于至善
12-15 3415
使用OpenSSL有多种方式生成CA的私钥和自签名证书,而使用CFSSL也同样非常简单。
自签证书cfssl资源文件包
06-24
在IT行业中,生成自签证书通常涉及到几个关键步骤,包括创建私钥、创建证书签名请求(CSR)、签署CSR以及最终生成证书。在这个"cfssl资源文件包"中,包含了一套工具,这些工具可以帮助我们完成上述过程。 CFSSL...
k8s部署之使用CFSSL创建证书
梦想起飞的地方.........
03-02 1321
k8s部署之使用CFSSL创建证书 安装CFSSL curl -s -L -o /bin/cfssl https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 curl -s -L -o /bin/cfssljson https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 curl -s -L -o /bin/cf...
33-k8s项目实战-02-k8s的ca证书有效期更新
2302_79199605的博客
02-29 1170
我们知道,k8s各项组件之间的通信,都是使用https协议进行的,也就是ca证书,那么我们也知道ca证书都是有“有限期的”,一旦过期,系统就无法进行通信了;这也是k8s在企业当中经常遇到的证书过期问题,也是需要我们来监控的;避免系统无法使用;
CFSSL: 证书管理工具:6:理解证书文件内容
知行合一 止于至善
12-16 2605
这篇文章以Kubernetes集群创建时所使用的证书为例,对证书文件内容结合具体内容进行解释。
在Centos7下,使用cfssl工具生成CA证书
zhuyongru的专栏
11-14 6816
1.下载cfssl工具 $ wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 $ chmod +x cfssl_linux-amd64 $ sudo mv cfssl_linux-amd64 /root/local/bin/cfssl $ wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd6...
k8s 证书ca-csr.json,ca-config.json
weixin_30375427的博客
05-22 3774
这是后面生成的所有证书的基础。 但如果是公司内使用,使用基于这些证书生成的ca, 在保证安全性的情况下,可以更方便的部署。 ca-csr.json { "CN": "kubernetes", "key": { "algo": "rsa", "size": 2048 }, "ca": { "expiry": "438000h" ...
K8S部署步骤:2-创建ca证书与秘钥
bingzhilingyi的博客
08-15 4250
kubernetes系统各组件需要使用TLS(SSL)证书对通信进行加密,本文档使用CloudFlare的PKI工具集cfssl 来生成Certificate Authority (CA) 证书和秘钥文件,CA是自签名的证书,用来签名后续创建的其它TLS证书。 在所有节点安装cfssl $ wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd6...
kubernetes实践之六:CFSSL构建本地CA
clmaykr95629的博客
03-21 282
一:前言 SSL:Secure Sockets Layer,标准化后叫"TLS",http协议默认情况下是不加密内容的,这样就很可能在内容传播的时候被别人监听到,对于安全性要求较高的场合,必须要加密,https就是带加密...
k8s证书自签笔记,2024Java大厂面试知识分享
04-01 789
三个工作日收到了offer,头条面试体验还是很棒的,这次的头条面试好像每面技术都问了我算法,然后就是中间件、MySQL、Redis、Kafka、网络等等。第一个是算法关于算法,我觉得最好的是刷题,作死的刷的,多做多练习,加上自己的理解,还是比较容易拿下的。而且,我貌似是将《算法刷题LeetCode中文版》、《算法的乐趣》大概都过了一遍,尤其是这本。
Kubernetes_07_证书
05-04 206
使用 cfssl-certinfo 命令查看证书信息 如下:通过这个命令,可以查看证书签发机构(subject.organization),和证书过期时间(not_after) 。可以知道 K8s集群中的证书需要在什么时候更新。 [root@kevin certs]# cfssl-certinfo -cert apiserver.pem { "subject": { "common_name": "k8s-apiserver", "country": "CN", "organi
【 Kubernetes 风云录 】- Cert证书更新
ycloud
09-14 1170
在安装K8S 节点的时候,使用的是手动签发 1年后Kubernetes 集群日志中出现 certificate has expired or is not yet valid 错误信息时,表明证书过期。
cfssl简单实用
最新发布
u011220233的博客
04-06 319
安装cfssl
Kubernetes应用中使用TLS/SSL证书的两种方法及实践 详细整理版
且炼时光
08-27 8847
在k8s应用注入自签发的TLS/SSL证书有两种思路:1.使用certificates.k8s.io API 进行签发。2. 自己生成CA证书进行签发,将所需的证书及公密钥打包进secret。本文将对这两种方法进行比较并动手实践。 文章目录零 获取自签发CA证书1. 准备好openssl工具2. 创建 CA证书签名申请 配置文件(ca-csr-config.json)3. 生成 CA密钥及证书一 certificates.k8s.io API签发1 配置kubernetes使用自定义的CA证书二 使用自
详细解释如何使用cfssl工具来创建Etcd证书
12-11
CFSSL(Cloud Foundry Security Substrate Library)是一个用于生成安全证书、签发和管理的安全工具。在创建Etcd(一个分布式键值存储系统)证书时,可以使用cfssl命令行工具,按照以下步骤操作: 1. 安装cfssl和etcd-ca-gen插件: 首先,你需要安装`cfssl`和`etcd-ca-gen`。你可以从GitHub克隆它们,或者通过包管理器如`go get`来获取。 ```bash go get github.com/cloudflare/cfssl go get github.com/coreos/etcd/ca ``` 2. 创建配置文件(config.json): 编辑`cfssl`的配置文件,添加Etcd CA的信息,例如CA名称和有效期等。示例配置如下: ```json { "signing": { "default": { "expiry": "8760h", "usages": ["client", "server"], "hosts": ["your-etcd-cluster.example.com"] } }, "profiles": { "etcd-ca": { " signing": { ... }, // 使用默认配置 "key": { "algo": "rsa", "size": 2048 }, "crs": { "uri": "https://example.com/certs/ca-csr.csr" } // 如果有外部根证书 } } } ``` 3. 生成私钥(ca-key.pem): 使用`cfssl gencert`命令生成CA的私钥: ```bash cfssl gencert -initca config.json | cfssljson -bare etcd-ca ``` 4. 提交CSR(Certificate Signing Request): 如果你想让第三方颁发证书,需要提交`csr.json`文件到相应服务器;否则跳过这一步。 5. 签署并生成证书: 使用`cfssl sign`命令签署生成的私钥和CSR(如果有的话),得到Etcd客户端和服务端证书: ```bash cfssl gencert -ca=etcd-ca.pem -ca-key=etcd-ca-key.pem \ -profile=etcd-ca -hostname="your-etcd-server.example.com" config.json > etcd-server-cert.pem cfssl gencert -ca=etcd-ca.pem -ca-key=etcd-ca-key.pem \ -profile=etcd-ca -hostname="your-etcd-client.example.com" config.json > etcd-client-cert.pem ``` 6. (可选)打包证书: 将生成的公钥、私钥和证书文件分别放入合适的目录供Etcd使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值