多证书颁发机构证书(?)

Question

我已经使用kubernetes在aws上创建了一个kops集群。

除非我错了，ca.crt和ca.key文件位于以下位置，如this非常有用的答案所示：

   - s3://<BUCKET_NAME>/<CLUSTER_NAME>/pki/private/ca/*.key
   - s3://<BUCKET_NAME>/<CLUSTER_NAME>/pki/issued/ca/*.crt

但是，我不禁注意到，在我的~/.kube/config文件(由kops自动创建)中，有一个名为：

certificate-authority-data

其内容为，与上述两个文件的不同。

在任何情况下，我们在颁发客户端证书时应该使用的CA密钥/crt对是什么？

为什么(表面上)有不止一个CA？

Answer 1

好吧这很奇怪..。(也许对像我这样没有经验的人来说.)

当我表演时：

echo -n <contents_of_the_certificate-authority-data_entry_of_my_kubeconfig_file> | base64 --decode

...I拿到我的ca.crt文件..。

ca.crt不是已经编码了base64吗？

Answer 2

在您的Kubernetes配置文件中存在的证书权威数据与用base64编码的证书无关(为配置文件设置一个连续文本字符串比不使用base64编码要实际得多)。

您的.crt文件是用RSA编码的，而不是base64。RSA是一种基于公钥和私钥(您的.crt和.key分别)的安全密码系统。Base64充其量对格式化或传输已经加密的数据非常有用。