使用k8s给你的服务签发证书

使用场景

当咱们须要进行服务端认证，甚至双向认证时，咱们须要生成密钥对和服务信息，并使用ca对公钥和服务信息进行批准签发，生成一个证书。

咱们简单描述下单向认证和双向认证的场景流程

在单向认证场景中：

• 服务端会将本身的证书和公钥告知客户端
• 客户端向CA查询该证书的合法性，确认合法后会记录服务端公钥
• 客户端会与服务端明文通讯确认加密方式，
• 客户端确认加密方式后，会生成随机码做为对称加密密钥，以服务端的公钥对对称加密密钥进行加密，告知服务端，
• 服务端以本身的私钥解密获得对称加密密钥，
• 以后， 客户端与服务端之间使用对称加密密钥进行加密通讯。

在双向认证的场景中:

• 服务端会将本身的证书和公钥告知客户端
• 客户端向CA查询该证书的合法性，确认合法后会记录服务端公钥
• 客户端会将本身的证书和公钥发给服务端，
• 服务端发现客户端的证书也能够经过CA认证，则服务端会记录客户端的公钥
• 而后客户端会与服务端明文通讯确认加密方式，
• 但服务端会用客户端的公钥将加密方式进行加密
• 客户端使用本身的私钥解密获得加密方式，会生成随机码做为对称加密密钥，以服务端的公钥对对称加密密钥进行加密，告知服务端，
• 服务端以本身的私钥解密获得对称加密密钥，
• 以后， 客户端与服务端之间使用对称加密密钥进行加密通讯。

那么，咱们若是要开放本身的https服务，或者给kubelet建立可用的客户端证书，就须要：

• 生成密钥对
• 生成使用方的信息
• 使用ca对使用方的公钥和其余信息进行审核，签发，生成一个使用方证书。

这里使用方能够是客户端（kubelet）或服务端（好比一个咱们本身开发的webhook server）

手动签发证书

k8s集群部署时会自动生成一个CA（证书认证机构），固然这个CA是咱们自动生成的，并不具备任何合法性。k8s还提供了一套api，用于对用户自主建立的证书进行认证签发。

准备

• 安装k8s集群
• 安装cfssl工具，从这里下载cfssl和cfssljson

建立你的证书

执行下面的命令，生成server.csr和server-key.pem。

cat <<EOF | cfssl genkey - | cfssljson -bare server
{
  "hosts": [
    "my-svc.my-namespace.svc.cluster.local",
    "my-pod.my-namespace.pod.cluster.local",
    "192.0.2.24",
    "10.0.34.2"
  ],
  "CN": "kubernetes",
  "key": {
    "algo": "ecdsa",
    "size": 256
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "k8s",
      "OU": "System"
    }
  ]
}
EOF

这里你能够修改文件里的内容，主要是：

• hosts。 服务地址，你能够填入service的域名，service的clusterIP，podIP等等
• CN 。对于 SSL 证书，通常为网站域名；而对于代码签名证书则为申请单位名称；而对于客户端证书则为证书申请者的姓名.k8s会将CN的内容视为正式使用者的User Name
• key。加密算法和长度。通常有ecdsa算法和rsa算法，rsa算法的size通常是2048或1024
• names。证书申请者的信息，好比位置、组织等。k8s的RBAC会将证书中的O视为证书使用者所在的Group

这一步生成的server-key.pem是服务端的私钥，而server.csr则含有公钥、组织信息、我的信息(域名)。

建立一个CSR资源

执行以下脚本：

cat <<EOF | kubectl apply -f -
apiVersion: certificates.k8s.io/v1beta1
kind: CertificateSigningRequest
metadata:
  name: my-svc.my-namespace
spec:
  request: $(cat server.csr | base64 | tr -d '\n')
  usages:
  - digital signature
  - key encipherment
  - server auth
EOF

在k8s集群中建立一个csr资源。注意要将第一步中建立的server.csr内容进行base64编码，去掉换行后填入spec.request中。spec.usages中填入咱们对证书的要求，包括数字签名、密钥加密、服务器验证。通常填这三个就够了。

以后咱们经过kubectl describe csr my-svc.my-namespace 能够看到：

Name:                   my-svc.my-namespace
Labels:                 <none>
Annotations:            <none>
CreationTimestamp:      Tue, 21 Mar 2017 07:03:51 -0700
Requesting User:        yourname@example.com
Status:                 Pending
Subject:
        Common Name:    my-svc.my-namespace.svc.cluster.local
        Serial Number:
Subject Alternative Names:
        DNS Names:      my-svc.my-namespace.svc.cluster.local
        IP Addresses:   192.0.2.24
                        10.0.34.2
Events: <none>

认证csr

注意到，csr的status是pending，说明尚未被CA认证。在k8s集群中，若是是node上kubelet建立的CSR，kube-controller-manager会自动进行认证，而咱们手动建立的证书，须要进行手动认证：
kubectl certificate approve

也能够拒绝：kubectl certificate deny

以后咱们再检查csr,发现已是approved了：

kubectl get csr
NAME                  AGE       REQUESTOR               CONDITION
my-svc.my-namespace   10m       yourname@example.com    Approved,Issued

咱们能够经过

kubectl get csr my-svc.my-namespace -o jsonpath='{.status.certificate}' | base64 --decode > server.crt

命令，获得server的证书。以后你就可使用server.crt和server-key.pem做为你的服务的https认证

流程总结

1. 编写一个json文件，描述server的信息，包括域名（或IP），CN，加密方式
2. 执行cfssl命令生成server的密钥，和认证请求文件server.csr
3. 将server.csr内容编码，在k8s中建立一个server的CSR资源
4. 手动对该CSR资源进行认证签发
5. 将k8s生成的server.crt 即服务端证书拷贝下来。
6. server.crt 和server-key.pem 即server的https服务配置

参考： https://kubernetes.io/docs/ta...