- 综合排序
- 最热优先
- 最新优先
- 来自专栏简单的日记
K8S证书更换
重新生成证书 证书备份 cp -rp /etc/kubernetes /etc/kubernetes.bak 移除过期证书 rm -f /etc/kubernetes/pki/apiserver* rm etc/kubernetes/pki/etcd/server.* rm -rf /etc/kubernetes/pki/etcd/peer.* 备注:可以使用命令openssl x509 -in [证书全路径 ] -noout -text查看证书详情 在当前路径下新建config.yaml kind: MasterConfiguration apiVersion: kubeadm.k8s.io/v1alpha1 conf /tmp/ kubeadm alpha phase kubeconfig all --config config.yaml 重启kubelet systemctl restart kubelet 证书过期时间确认
2.9K22发布于 2019-11-19 - 来自专栏httpsok
🔥httpsok-快速申请谷歌SSL免费证书
httpsok-快速申请谷歌SSL免费证书使用场景: 部署CDN证书、OSS云存储证书证书类型: 单域名 多域名 通配符域名 混合域名证书厂商: ZeroSSL Let's Encrypt Google 证书 加密类型: ECC、 RSA一、证书管理进入 证书管理页面 ,点击 免费申请证书 按钮二、开始申请提交申请① 填写需要申请证书的域名②根据提示配置DNS解析记录③选择证书厂商④DNS验证通过后,点击提交申请提交完成提交完成后 ,证书进入 申请中 状态,请耐心等待1~2分钟。 三、下载证书签发成功证书签发成功。下载证书查看证书这就是我们刚刚申请的 谷歌通配符证书,现在您可以将您的证书部署到 CDN 或者 OSS云存储 了。结束恭喜您,SSL免费证书申请就是这么简单。
1.4K10编辑于 2024-04-12 - 来自专栏运维小路
Kubernetes(k8s)-证书介绍
这个图片里面的箭头在Kubernetes内部,都是双向证书,下面的内容来源于我多年前的一篇文章,本次编写进行了略为修改。 CA证书 简单来说就是证书的颁发机构,也可以叫根证书。 路径 解释 年限 /etc/kubernetes/pki/etcd/ca.crt etcd根证书 默认10年 /etc/kubernetes/pki/ca.crt k8s集群根证书 默认10年 /etc /kubernetes/pki/front-proxy-ca.crt 代理访问k8s根证书(较少使用) 默认10年 普通证书 就是由CA证书颁发的普通证书,直接应用于业务的,他也有有效期的,比如10年 etcd证书 ca.crt作为etcd的根证书,签发etcd对外提供服务的server证书和签发etcd节点之间同步使用的peer证书,kubelet向etcd发起健康检查的证书。 livenessProbe: failureThreshold: 8 httpGet: host: 127.0.0.1 path: /health
1.2K10编辑于 2025-02-10 - 来自专栏一个爱瞎折腾的程序猿
k8s证书到期处理
证书续期提示 当执行kubectl get nodes等提示 Unable to connect to the server: x509: certificate has expired or is not yet valid 既为k8s的证书到期的提示 使用kubeadm安装k8s时,默认生成的client certificate的有效期是1年。 续期 master节点:xxx.xxx.xxx.xxx 检查证书有效期 kubeadm alpha certs check-expiration 或 openssl x509 -in /etc/kubernetes /pki/apiserver.crt -noout -text |grep ' Not ' 备份证书 cp -rp /etc/kubernetes /etc/kubernetes.bak 重新生成证书 |k8s_kube-controller-manager|k8s_kube-scheduler|k8s_etcd_etcd'|xargs docker restart 检测 systemctl status
2.5K10编辑于 2022-05-10 - 来自专栏误入歧途
K8S证书过期更新
K8S证书过期问题 K8S证书过期处理方法 Unable to connect to the server: x509: certificate has expired or is not yet valid 1、查看证书有效期: # kubeadm certs check-expiration 2、备份证书 # cp -rp /etc/kubernetes /etc/kubernetes.bak 3、直接重建证书 k8s版本1.15之前使用: # kubeadm alpha certs renew all k8s版本1.15之后使用: # kubeadm certs renew all 4、再次查看证书有效期 docker restart 容器的ID # docker restart `docker ps -a | grep -E 'apiserver|scheduler|controller-manager'` 8、 # systemctl status kubelet 或者 # kubectl get pods 至此k8s证书更新完成 !!!!
1K10编辑于 2025-04-12 - 来自专栏晓晨的专栏
Chrome 谷歌浏览器清除HTTPS证书缓存
在地址栏输入 chrome://net-internals/#hsts 找到下图中的输入框,输入对于的域名执行删除就行了
4.8K20发布于 2018-08-02 - 来自专栏运维小路
Kubernetes(k8s)-证书续期
上一小节我们介绍了Kubernetes里面涉及到的证书,有的有效期是10年,有的有效期是1年,而且除了根证书是10年,实际业务使用的证书都是1年。如果证书到期,我们应该怎么续期呢? 1.查看当前证书情况 kubeadm certs check-expiration 这个图里面显示的证书其实就是我们上一小节讲过的哪些证书主要包括: 3个ca证书,3个etcd证书,3个apiserver 证书,一个kubectl证书,一个controller-manager证书,一个scheduler证书,一个proxy启用代理证书。 通过以上命令,我们可以一键续期除kubelet外的所有证书,根证书不会续期。我们也可以手工续期某一个组件,只需要把最后的证书更换成为对应的证书名字即可。 kubeadm certs renew scheduler.conf 证书续期以后,当前应用程序还需要重启才会生效,静态pod的重启,参考我们前面讲过的Kubernetes(k8s)-静态pod介绍
1K10编辑于 2025-02-12 - 来自专栏全栈程序员必看
k8s–证书签发
1.准备签发证书环境 运维主机 hdss-1-200.host.com上: 2.安装CFSSL 证书签发工具CFSSL:R1.2 cfssl下载地址 https://pkg.cfssl.org/R1.2 200 bin]# which cfssl /usr/bin/cfssl [root@hdss-1-200 bin]# which cfssl-json /usr/bin/cfssl-json 5.签发证书 root@hdss-1-200 opt]# mkdir certs [root@hdss-1-200 opt]# cd certs/ [root@hdss-1-200 certs]# 6.创建生成CA证书签名请求 .20年 } } 7.签发证书 [root@hdss-1-200 certs]# cfssl gencert -initca ca-csr.json 2021/02/08 12:13:54 ==\n-----END RSA PRIVATE KEY-----\n"} 8.做成承载式证书 [root@hdss-1-200 certs]# ls ca-csr.json [root@hdss-1-
54620编辑于 2022-08-25 - 来自专栏月亮与二进制
iOS10&Xcode8 推送证书问题
更新Xcode8适配iOS10之后,发布时邮件提醒我推送证书有问题: 似乎是APN的证书更新了,需要修正一下。 这里主要是发布时遇到问题,所以我们先只重新配置推送消息的发布证书,调试证书有需要的话之后还是一样的步骤。 所以我们选择发布的这个: 创建证书还是和以前一样,要本地的钥匙串中的证书助理来请求证书,名字和邮箱随便填,但是务必记得选择保存在磁盘,方便找到。然后提交到这个证书的申请文件中,就创建好证书了。 把证书下载下来,将钥匙串中过期的推送证书删掉,双击新证书安装。 然后要记得,Xcode 8需要在工程名->TARGET->Capabilities中开启Push Notifications: 开启时会自动检测证书,像图中一样都是勾就ok了。
72510发布于 2021-11-23 - 来自专栏John Wong's Blog
使用kubekey 更新K8S证书
/build.sh 检查证书有效期 . k8s-master1 front-proxy-ca.crt Nov 05, 2030 02:56 UTC 8y k8s-master1 更新K8S证书 . kubernetes v1.15以上更新证书的方法 更新/etc/kubernetes/pki目录下的所有证书(不包含ca证书) 注意:需要在每一个节点上都更新 # 查看现有证书到期时间 $ kubeadm alpha certs check-expiration # 使用二进制更新证书 $ kubeadm alpha certs renew all # 每月的最后1天 crontab -e * *
2.6K20编辑于 2021-12-23 kubeadm 更新k8s集群证书
初始化集群时指定证书有效期 如果你在初始化集群时需要指定证书的有效期,可以在 kubeadm 配置文件中指定证书的有效期。可以通过 --config 参数加载一个配置文件,并在该文件中设置证书有效期。 配置文件示例(kubeadm-config.yaml):apiVersion: kubeadm.k8s.io/v1beta3kind: ClusterConfigurationcertificates: 更新已存在集群的证书有效期对于已存在的集群,kubeadm 提供了证书更新功能,可以续期集群中的证书,并指定新证书的有效期。 and etcd, so that they can use the new certificates.kubectl delete pod -n kube-system kube-apiserver-k8s-master kube-controller-manager-k8s-master kube-scheduler-k8s-master etcd-k8s-master重新拷贝admin.conf文件cp /etc/
94910编辑于 2024-11-12- 来自专栏容器化
k8s采坑记 - 证书过期之kubeadm重新生成证书
重新生成证书 证书备份 cp -rp /etc/kubernetes /etc/kubernetes.bak 移除过期证书 rm -f /etc/kubernetes/pki/apiserver* rm healthcheck-client.* rm -rf /etc/kubernetes/pki/etcd/server.* rm -rf /etc/kubernetes/pki/etcd/peer.* 重新生成证书 /etc/kubernetes/*.conf /tmp/ kubeadm alpha phase kubeconfig all 重启kubelet systemctl restart kubelet 证书过期时间确认
3K30发布于 2019-08-08 - 来自专栏运维小路
Kubernetes(k8s)-创建永久(100年)证书
我们上一小节虽然介绍了如何续期,但是有没有什么方法可以在创建集群的时候就提供更长的证书时间呢? /staging/src/k8s.io/client-go/util/cert/cert.go 2.修改生成的其他证书 #把24*365 换成 24*365*100 vi . [root@localhost kubernetes]# ls _output/bin/kubeadm _output/bin/kubeadm 重新安装集群 参考Kubernetes(k8s)-k8s安装 检查证书 可以看到,无论是ca证书,还是其他业务使用的证书都是100年,包括kubelet证书也是100年,这样我们的集群就不用在考虑证书到期的问题。 ,再也不用考虑证书问题。
71700编辑于 2025-02-19 - 来自专栏王先森
Kubernetes (K8S) 中Traefik自动申请证书
Kubernetes (K8S) 中Traefik自动申请证书 王先森2023-08-292023-08-29 Traefik自动申请证书 Traefik实现自动申请HTTPS证书要使用Let’s Encrypt 自动生成证书,需要使用ACME。 需要在静态配置中定义 “证书解析器”,Traefik负责从ACME服务器中检索证书。 然后,每个 “路由器 “被配置为启用TLS,并通过tls.certresolver配置选项与一个证书解析器关联。 对于AWS 私有证书颁发机构、Google Cloud 证书颁发机构服务或Cloudflare Origin CA 等不受支持的情况,外部颁发者允许您扩展证书管理器功能。 不需要手动创建 Certificate 对象了,修改上面的 whoami应用的 Ingress 资源对象,如下所示: cat << EOF >ing.yml apiVersion: networking.k8s.io
2.7K40编辑于 2023-10-17 - 来自专栏云原生实验室
k8s 内存泄露?证书过期?盘他!
证书过期问题的两种处理方法 前情提要 公司测试环境的 k8s 集群使用已经很长时间了,突然有一天开发联系我说 k8s 集群无法访问,开始以为是测试环境的机器磁盘空间不够了,导致组件异常或者把开发使用的镜像自动清理掉了 has expired or is not yet valid 经网上搜索之后发现应该是 k8s 集群的证书过期了,使用命令排查证书的过期时间 $ kubeadm alpha certs check-expiration 发现确实是证书过期了 相关介绍以及问题解决 因为我们是使用 kubeadm 部署的 k8s 集群,所以更新起证书也是比较方便的,默认的证书时间有效期是一年,我们集群的 k8s 版本是 1.15.3 版本是可以使用以下命令来更新证书的,但是一年之后还是会到期,这样就很麻烦,所以我们需要了解一下 k8s 的证书,然后我们来生成一个时间很长的证书,这样我们就可以不用去总更新证书了。 k8s 集群,还可以通过重新编译 kubeadm 来实现一个 10 年证书的,这个我没有尝试,不过在初始化集群的时候也是一个方法。
82830发布于 2021-06-09 - 来自专栏Kubernetes
【K8s】Kubernetes 集群证书过期处理方法
(默认有效期 365 天),处理方法是对 Kubernetes 集群证书进行更新以重置有效期,本文将介绍具体处理过程。 Kubernetes 集群证书包括: CA(证书颁发机构)证书:用于签名其他证书,是信任链的根 API Server 证书:用于 API Server 的 TLS 认证 kubelet 证书:用于 kubelet 与 API Server 之间的通信 kube-proxy 证书:用于 kube-proxy 与 API Server 之间的通信 etcd 证书:用于 etcd 集群内部节点之间的通信 服务账户证书 处理过程 1、备份证书 cd /etc/kubernetes && mv pki pki-old 2、检测证书 # kubeadm 20 之前的版本使用本命令 kubeadm alpha certs check-expiration ,验证集群证书是否更新成功。
1.5K10编辑于 2024-09-02 - 来自专栏搭建行业网站步骤
做外贸网站一定要安装SSL证书,提高谷歌收录!
有一点很重要,做外贸业务,企业的网站就必须要进行谷歌搜索引擎优化,快速提高网站流量,让更多海外用户看到您企业的相关信息。但是,做谷歌搜索引擎优化,有一个铁要求,常常被大家所忽略! 就是你的网站必须要有SSL安全证书否则,你的网站就会被列入不安全网站行列,无法在谷歌搜索引擎中进行展示和曝光。先说下SSL安全证书它是什么东西? 简单来说,就是 https ,浏览器输入网址后,前面带有“”的标志,就是部署了SSL安全证书。 3、更加机密性在网络上此刻充斥着不安全,病毒、黑客无不存在,在拥有了SSL证书之后,可以防止不明身份者盗走账号信息,支付等机密性信息。特别是银行等金融机构都在使用SSL证书。 5、可信性显示使用了SSL证书的网站,在99%的浏览器上一般都有绿色或按安全锁标识,让你一眼就能看出来是不是安全可信,是不是更放心。
25500编辑于 2025-05-30 - 来自专栏K8s 系列
K8s 系列(三) - 如何配置 etcd https 证书?
在 K8s 中,kube-apiserver 使用 etcd 对 REST object 资源进行持久化存储,本文介绍如何配置生成自签 https 证书,搭建 etcd 集群给 apiserver 使用 创建 ca 证书 3. 配置 ca 证书策略 4. 配置 etcd 请求 csr 5. 生成 etcd 证书 6. 创建 etcd cluster yaml 文件:https://github.com/k8s-club/etcd-operator 7. 查看 DNS 解析 dnsutils 安装:https://kubernetes.io/docs/tasks/administer-cluster/dns-debugging-resolution/ 8. 坑点记录 13.1 证书 hosts 不对 解决:重新配置正确的 hosts 域名 13.2 证书 hosts 配置坑点 13.3 dns 设置参考 推荐设置 *.xxx.ns.svc,这样扩容后也不需要重签证书
1.1K30发布于 2021-09-22 - 来自专栏运维开发故事
使用ssl_exporter监控K8S集群证书
role: alert-rules spec: groups: - name: check_ssl_validity rules: - alert: "K8S集群证书在 集群的证书还有{{ printf "%.1f" $value }}天就过期了,请尽快更新证书' summary: "K8S集群证书证书过期警告" - name: ssl_connect_status rules: - alert: "K8S集群证书可用性异常" expr: ssl_tls_connect_success == 0 for: 1m labels: severity: critical annotations: summary: "K8S集群证书连接异常" description : "K8S集群 {{ $labels.instance }} 证书连接异常" 如下展示规则正常,在异常的时候就可以接收到告警了。
2K30发布于 2021-02-01 - 来自专栏jeremy的技术点滴
k8s中使用cert-manager玩转证书
前几天写过一篇k8s加入TLS安全访问,其中说到用cfssl之类的工具手动生成TLS证书,这样就可以轻松搞定站点的https访问了。 理想是很美好,但实际操作时却很痛苦,主要有以下几点缺陷: 如果k8s集群上部署的应用较多,要为每个应用的不同域名生成https证书,操作太麻烦。 上述这些手动操作没有跟k8s的deployment描述文件放在一起记录下来,很容易遗忘。 证书过期后,又得手动执行命令重新生成证书。 这样就迫切需要一个证书管理工具来完成以上需求。 正好这几天浏览网站发现了cert-manager,一个k8s原生的证书管理控制器。 一旦在k8s中定义了上述两类资源,部署的cert-manager则会根据Issuer和Certificate生成TLS证书,并将证书保存进k8s的Secret资源中,然后在Ingress资源中就可以引用到这些生成的
12.2K50发布于 2019-03-13
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号