手動在1年內更新證書
也可以把下面命令寫乙個定時任務。每1個月執行一次。
多個master都須要執行
# 檢視現有證書到期時間
$ kubeadm alpha certs check-expiration
# 使用二進位制更新證書
$ kubeadm alpha certs renew all
# 每3個月的1號執行更新00
11,4,7,10 * /usr/bin/kubeadm alpha certs renew all
檢視證書
cd /etc/kubernetes/pki
openssl x509 -in apiserver.crt -noout -text |
grep not
not before: nov 13 03:43:30 2019 gmt
not after : nov 17 01:41:50 2020 gmt
openssl x509 -in front-proxy-client.crt -noout -text |
grep not
not before: nov 13 03:43:23 2019 gmt
not after : nov 17 01:41:56 2020 gmt
直接修改kubeadm 原始碼 增加證書到100年。
$ git clone
$ cd kubernetes
# 編輯原始碼
$ git checkout release-1.15
$ git
diff
@@ -571,7 +571,7 @@ func newsignedcert(cfg *certutil.config, key crypto.signer, cacert *x509.certifi
ipaddresses: cfg.altnames.ips,
serialnumber: serial,
notbefore: cacert.notbefore,
- notafter: time.now(
).add(kubeadmconstants.certificatevalidity).utc(
),+ notafter: time.now(
).add(kubeadmconstants.certificatevalidity * 100
).utc(
), keyusage: x509.keyusagekeyencipherment | x509.keyusagedigitalsignature,
extkeyusage: cfg.usages,
# 編譯二進位制
$ go version
go version go1.12.7 linux/amd64
$ go build ./cmd/kubeadm
# 使用二進位制更新證書
$ ./kubeadm alpha certs renew all
certificate embedded in the kubeconfig file
for the admin to use and for kubeadm itself renewed
certificate for serving the kubernetes api renewed
certificate the apiserver uses to access etcd renewed
certificate for the api server to connect to kubelet renewed
certificate embedded in the kubeconfig file
for the controller manager to use renewed
certificate for liveness probes to healtcheck etcd renewed
certificate for etcd nodes to communicate with each other renewed
certificate for serving etcd renewed
certificate for the front proxy client renewed
certificate embedded in the kubeconfig file
for the scheduler manager to use renewed
檢視證書
cd /etc/kubernetes/pki
openssl x509 -in front-proxy-client.crt -noout -text |
grep not
not before: nov 28 09:07:02 2018 gmt
not after : nov 25 09:07:03 2028 gmt
openssl x509 -in apiserver.crt -noout -text |
grep not
not before: nov 28 09:07:04 2018 gmt
not after : nov 25 09:07:04 2028 gmt
程式設計師的半衰期只有15年
曾在google工作負責過技術工作的科技編輯 matt heusser總結了他在google的生活經歷,得出結論 作為程式設計師,你只有15年時間。matt 寫道 當我在google工作時,發現google大部分人都是20出頭的年輕人,他們經歷的很多事情都是第一次 第一次邁出校門 參加工作,第一次買...
遷移微軟CA的證書 (1)
最近豆子需要清理一下公司的pki伺服器。由於歷史原因,公司之前內網裡面搭建了2臺enterprise root級別的ca伺服器,老闆讓我再搭建乙個新的,然後把之前的2臺處理掉。微軟的ad環境裡面是允許同時搭建多個pki結構的,不過這樣導致的後果就是可能客戶端申請證書的時候會隨機申請乙個,這樣的後果是...
獲得PMP證書的這一年
時間過得真快,轉眼間考取pmp證書已經一年多了。回顧從考證學習到現在,印象最深刻的依然是跟隨王安老師學習pmbok的那段時間,老師帶我們把pmbok的十大知識領域都通讀了一遍,並且掌握了很多實用的問題分析技巧,拿證過程可以說是早起晚睡,不斷將學習的知識與工作中的實踐相聯絡,從而加深印象。在取得認證之...