k8s-更改证书时间

k8s-更改证书时间

一 查看证书有效时间

如果用kubeadm安装的k8s,则证书放在/etc/kubernetes/pki 这个目录下，

然后查看证书时间，发现默认时间是一年

 

[root@k8s-master01 pki]# openssl x509 -in apiserver.crt -text -noout | grep Not
            Not Before: Mar 19 17:36:19 2020 GMT
            Not After : Mar 19 17:36:19 2021 GMT

 

 

1.1 go环境部署

 

wget https://dl.google.com/go/go1.12.7.linux-amd64.tar.gz
tar -zxvf go1.12.1.linux-amd64.tar.gz -C /usr/local
vi /etc/profile
export PATH=$PATH:/usr/local/go/bin
source /etc/profile

1.2 下载源码

cd /data && git clone https://github.com/kubernetes/kubernetes.git
git checkout -b remotes/origin/release-1.15.1 v1.15.1
#因为我们安装的是1.15的版本

1.3 修改 Kubeadm 源码包更新证书策略

 

vim staging/src/k8s.io/client-go/util/cert/cert.go # kubeadm 1.14 版本之前
vim cmd/kubeadm/app/util/pkiutil/pki_helpers.go # kubeadm 1.14 至今
const duration365d = time.Hour * 24 * 365
NotAfter: time.Now().Add(duration365d).UTC(),
make WHAT=cmd/kubeadm GOFLAGS=-v #编译
cp _output/bin/kubeadm /root/kubeadm-new #拷贝

1.4更新kubeadm

 

 # 将 kubeadm 进行替换
cp /usr/bin/kubeadm /usr/bin/kubeadm.old
cp /root/kubeadm-new /usr/bin/kubeadm
chmod a+x /usr/bin/kubeadm

1.5 更新各节点证书至 Master 节点

 

cp -r /etc/kubernetes/pki /etc/kubernetes/pki.old
cd /etc/kubernetes/pki
# 更新
kubeadm alpha certs renew all --config=/root/kubeadm-config.yaml
#查看证书时间
openssl x509 -in apiserver.crt -text -noout | grep Not

 

 

更新：

kubeadm alpha certs renew all --config=/root/kubeadm-config.yaml

查看

然后再次查看证书时间，发现有效时间变成10年了

 

如果你有多个master节点，用脚本更新即可

 

scp -r /root/kubeadm-config.yaml root@192.168.1.211:/root/

 scp -r /usr/bin/kubeadm root@192.168.1.211:/usr/bin
 然后去1.211这台机器上面执行下面的命令去更新证书即可
 kubeadm alpha certs renew all --config=/root/kubeadm-config.yaml