k3s证书过期的处理 以及 修改k3s证书有效期为10年(或自定义时间)

原创 已于 2023-09-18 18:34:56 修改 · 6.1k 阅读 · 11
标签
#kubernetes
于 2022-04-24 18:52:44 首次发布
本文介绍了如何管理和更新K3s集群的证书,包括常规的证书轮换方法以及如何将证书有效期延长至10年。通过修改K3s的根证书,创建新的服务证书并替换现有证书,可以避免每年手动操作。提供了一个shell脚本来简化此过程,并给出了详细的执行步骤和示例。

1、常规操作

由于k3s证书的默认过期时间是12个月,因此到期之前或不小心到期,需要轮换

其实官网有明确的说明以及处理办法——但是你会发现按照官方处理办法,基本上无法生效

这里给一个一定可行的办法

# 在其中一个节点上执行
k3s kubectl --insecure-skip-tls-verify=true delete secret k3s-serving -n kube-system

# 在每个节点上执行
rm -rf /var/lib/rancher/k3s/server/tls/dynamic-cert.json
systemctl restart k3s

以上的关键点就是 --insecure-skip-tls-verify=true

重点来了

2、黑科技:改证书时间为10年(或自定义时间)

上面的办法虽好,但是生产环境我们肯定不愿意每年都去搞一次,如何做?

我们知道,每一个证书,是有根证书签发的,k3s服务证书,有自己的根证书
因此,我们只需要
1、找到k3s的根证书
2、设置正确的信任域和IP,设置你想要的时间,然后用来签发一个新的证书
3、替换现有的k3s证书
就可以达到效果

说了一堆废话,这里给出最终办法(由于大家都会用rancher,我这里就以操作rancher来说明了,没有rancher,通过kubectl命令也可以完成操作,具体我就不写了,自行思考)

详细步骤:

  1. 进入rancher,找到集群->system->证书列表->k3s-serving
  2. 点开k3s-serving,拷贝域名中的所有内容做准备
  3. 使用本文最后的shell脚本,拷贝到服务器上执行该脚本。其中参数要注意
    –ssl-domain,需要指定为’k3s’。脚本默认值已经设定好了
    –ssl-trusted-domain,【【【需要指定为第二步拷贝的内容中,除了k3s的所有域名】】】
    –ssl-trusted-ip,【【【需要指定为第二步拷贝的内容中的所有ip】】】


    样例参考为:./mktls.sh --ssl-domain=k3s --ssl-trusted-domain=kubernetes,kubernetes.default,kubernetes.default.svc,kubernetes.default.svc.cluster.local,localhost --ssl-trusted-ip=10.43.0.1,127.0.0.1,172.16.148.200,172.16.148.201,172.16.148.203,172.16.148.204 --ssl-size=2048 --ssl-date=3650 --k3s-server-ca-key=./CA.key --k3s-server-ca=./CA.crt
    样例中我专门指定了–k3s-server-ca-key和–k3s-server-ca(其默认值在脚本中有描述),其实想说的是,我们把k3s的根证书和key内容拷贝出来到任何地方都可以执行
  4. 在rancher中编辑k3s-serving,用第三步生成的key和crt内容,更新对应的内容即可

至此,就完成了证书更新,妈妈再也不用担心k3s过期了




附上详细步骤中所述的脚本
拷贝到机器上,chmod +x 之后执行即可


#!/bin/bash -e

# 用于制作k3s的服务证书。默认情况下,k3s证书一年内过期
# 通过官方说法,可以通过删除 `k3s-serving`这个密文
# 以及删除主机的/var/lib/rancher/k3s/server/tls/dynamic-cert.json文件
# 之后,重启k3s服务可以达到轮换证书的目标
# 但是这样太麻烦,这里提供的就是根据k3s的根证书制作一个新的证书,时间可自定义
# 然后把这个证书的key和crt在rancher界面上更换`k3s-serving`这个密文内容即可

help ()
{
   
   
    echo  ' ================================================================ '
    echo  ' --ssl-domain: 生成ssl证书需要的主域名,如不指定则默认为www.rancher.local,如果是ip访问服务,则可忽略;'
    echo  ' --ssl-trusted-ip: 一般ssl证书只信任域名的访问请求,有时候需要使用ip去访问server,那么需要给ssl证书添加扩展IP,多个IP用逗号隔开;'
    echo  ' --ssl-trusted-domain: 如果想多个域名访问,则添加扩展域名(SSL_TRUSTED_DOMAIN),多个扩展域名用逗号隔开;'
    echo  ' --ssl-size: ssl加密位数,默认2048;'
    echo  ' --ssl-cn: 国家代码(2个字母的代号),默认CN;'
    echo  ' --ssl-date: 有效天数;'
    echo  ' --k3s-server-ca-key: k3s根证书的key。默认在/var/lib/rancher/k3s/server/tls/server-ca.key'
    echo  ' --k3s-server-ca: k3s根证书。默认在/var/lib/rancher/k3s/server/tls/server-ca.crt'
    echo
最低0.47元/天 解锁文章
K3s证书过期急救指南:5分钟搞定证书轮换(附一键脚本)
最新发布
weixin_42557803的博客
04-05 240
本文提供K3s证书过期的紧急恢复和长期解决方案,包含5分钟快速恢复服务的操作步骤和自定义证书有效期的深度修复方法。特别附赠一键脚本,帮助用户轻松实现证书轮换,避免因证书过期导致的集群服务中断。适用于K3s运维人员快速处理证书过期问题。
k3s证书过期解决方法(终极解决-超级简单)
qq_41190902的博客
11-09 4357
官方文档说是到期前1个月重启会轮换,并且到期后不能再访问,因此要争取到到期前一个月,服务器要重启,网上有两种解决方案方案1 是手动设置到期时间,删掉相关CA文件,重启后,更新证书方案2 直接编写sh,重新生产自定义时间证书,替换。
k3s证书过期解决方法(亲测有效)
龙哥哥的博客
08-02 1285
k8s证书过期后如何解决
K3s证书过期终极解决方案:修改系统时间一步搞定(附详细命令)
nft7creator的博客
02-27 65
本文深入解析K3s证书过期问题的根源与连锁影响,提供了从监控预警、官方标准修复流程到自动化管理的完整解决方案。针对紧急情况,详细剖析了修改系统时间这一方法的原理与潜在风险,并给出了相对安全的操作框架,旨在帮助运维人员构建可持续的证书管理策略,确保集群长期稳定。
k3s证书过期问题处理
MichaelZ的博客
03-17 1641
k3s证书逻辑: k3s证书有效期默认是1,如果证书已经过期剩余的时间不足90天,则在重启k3s时就会自动轮转证书。但在之前的版本中,由于BUG(),会导致k3s重启无法自动轮转证书,此时则需要手动轮转证书
K3S 证书有效期和续签问题
代码搬运工
04-18 2005
K3s 客户端和服务器证书自颁发日起 365 天内有效。每次启动 K3s 时,已过期 90 天内过期证书都会自动更新。:90天内过期证书可以通过重启k3s没问题,已过期不行,所以已过期的需要手动处理
K3s证书过期不再愁:教你如何通过修改系统时间延长证书有效期(含避坑指南)
h6i7j8的博客
03-02 944
本文深入解析K3s证书过期的根本原因与连锁影响,提供从预防性监控到应急恢复的完整解决方案。重点介绍了通过调整系统时间触发证书自动轮换的实用方法,并包含详细的避坑指南,帮助运维人员有效管理K3s证书生命周期,确保集群稳定运行。
k3s常见故障处理
wenwenxiong的专栏
12-19 1829
k3s常见故障处理
K3s证书过期避坑指南:如何避免每手动更新证书的烦恼
zz67890的博客
02-26 60
本文深入探讨了K3s集群中证书过期问题的根源与解决方案。针对默认一有效期的服务证书带来的度运维负担,文章不仅剖析了手动更新方法的风险,更重点介绍了如何利用自动化工具和策略实现证书的长效管理,帮助用户彻底告别手动更新证书的烦恼,构建稳定可靠的K3s运行环境。
附040.K3S+外置ETCD高可用生成环境部署
木二
03-10 1415
K3S是一个轻量级Kubernetes发行版。易于安装,内存消耗低,所有二进制文件不到100mb。边缘计算-Edge物联网-IoTCIARM嵌入K8S在下载相应版本的工具:cfssl_1.6.5_linux_amd64 #cfssl工具cfssljson_1.6.5_linux_amd64 #json模板。
k3s原理分析丨如何搞定k3s node注册失败问题
k3s中文社区
03-05 5139
文为实战场景中的真实故障排场案例,分享了k3s产品中关于node注册失败的排查记录。首先将分析k3s中相关组件的基本原理,然后详细分析问题出现的原因,最后给出解决方案。 如果你目前尚未遇到这个问题,也不妨一看文章中的原理部分,条分缕析地介绍了agent的注册过程,可以有效帮助你解决同类问题~~
k3s证书过期傻瓜式解决方法 新版 100过期
panyuwuyanzu的博客
02-22 1284
【代码】k3s证书过期傻瓜式解决方法 新版 100过期
k3s-安装、卸载、证书过期x509
撂爪就忘的博客
01-02 2109
k3s-安装、卸载、证书过期x509
rancher的k3s证书过期
架构+开发+运维
01-16 1618
现象 rancher报错日志 分析 解决思路 解决
K3S证书过期解决方法
huangruifeng的博客
09-16 1751
以ubuntu为例 1、关闭时间同步 timedatectl set-ntp no 2、查看k3s过期时间 for i in `ls /var/lib/rancher/k3s/server/tls/*.crt`; do echo $i; openssl x509 -enddate -noout -in $i; done 3、设置时间过期前一个月 date -s 20211105 4、删除 secret k3s-serving sudo kubectl --insecure-skip-tls-veri
Centos下安装K3S+Rancher
wangxi83的博客
09-15 2424
文章目录Centos下安装K3S+Rancher1. 准备工作1.1. disable firewall1.2. disable selinux1.3. disable swap(仅列出,可以暂不执行,效果不明)1.4. 修改主机名,并修改hosts1.5. 安装docker1.5.1. 修改Docker loglimit。非常重要!1.5.2. 修改Docker limit。非常重要!1.5.3. 强制使用overlay2存储引擎1.5.4. 修改docker数据目录(可选)1.5.5. 重启docker
rancher证书过期处理
weixin_39717172的博客
07-02 1077
rancher证书过期 日志提示X509 报错,rancher证书过期导致 操作步骤 1、关闭ntp同步,不然时间会自动更新 timedatectl set-ntp false 2、 修改节点时间修改到未过期时间) timedatectl set-time ‘2019-01-01 00:00:00’ 3、重启容器 3、进入容器备份/var/lib/rancher/k3s/server/tls目录 4、删除/var/lib/rancher/k3s/server/tls目录下所有证书 5、重启容器 ...
k3s rancher证书过期x509
天津托的博客
06-13 874
rancher x509: certificate has expired or is not yet valid 证书过期
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sb熙哥

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值