CFSSL是CloudFlare开源的一款PKI/TLS工具。 CFSSL 包含一个命令行工具 和一个用于 签名,验证并且捆绑TLS证书的 HTTP API 服务。 使用Go语言编写。
CFSSL包括:
一组用于生成自定义 TLS PKI 的工具
cfssl程序,是CFSSL的命令行工具
multirootca程序是可以使用多个签名密钥的证书颁发机构服务器
mkbundle程序用于构建证书池
cfssljson程序,从cfssl和multirootca程序获取JSON输出,并将证书,密钥,CSR和bundle写入磁盘
PKI借助数字证书和公钥加密技术提供可信任的网络身份。通常,证书就是一个包含如下身份信息的文件:
证书所有组织的信息
公钥
证书颁发组织的信息
证书颁发组织授予的权限,如证书有效期、适用的主机名、用途等
使用证书颁发组织私钥创建的数字签名
1.需要安裝CFSSL工具,这将会用來建立 TLS Certificates
export CFSSL_URL="https://pkg.cfssl.org/R1.2"
wget "${CFSSL_URL}/cfssl_linux-amd64" -O /usr/local/bin/cfssl
wget "${CFSSL_URL}/cfssljson_linux-amd64" -O /usr/local/bin/cfssl-json
chmod +x /usr/local/bin/cfssl /usr/local/bin/cfssl-json
2. 建立集群CA keys 与Certificates
创建认证中心(CA)
CFSSL可以创建一个获取和操作证书的内部认证中心。
运行认证中心需要一个CA证书和相应的CA私钥。任何知道私钥的人都可以充当CA颁发证书。因此,私钥的保护至关重要。
生成CA证书和私钥(root 证书和私钥)
单个域名证书
# cat ca-csr.json
{
"CN": "dashboard.rongbiz.cn",
"key": {
"algo": "rsa",
"size": 2048
},
"names": [{
"C": "CN",
"ST": "ShangHai",
"L": "ShangHai",
"O": "Kubernetes",
"OU": "system"
}]
}
泛域名证书
# cat ca-csr.json
{
"CN": "rongbiz.cn",
"hosts": [
"rongbiz.cn",
"*.rongbiz.cn"
],
"key": {
"algo": "rsa",
"size": 2048
},
"names": [{
"C": "CN",
"ST": "ShangHai",
"L": "ShangHai",
"O": "Kubernetes",
"OU": "system"
}]
}
CN: Common Name,浏览器使用该字段验证网站是否合法,一般写的是域名。非常重要。浏览器使用该字段验证网站是否合法
C: Country, 国家
L: Locality,地区,城市
O: Organization Name,组织名称,公司名称
OU: Organization Unit Name,组织单位名称,公司部门
ST: State,州,省
3.打包证书
[root@k8s-m1 ~]# cfssl gencert -initca ca-csr.json | cfssl-json -bare ca
2018/09/04 17:54:27 [INFO] generating a new CA key and certificate from CSR
...................................
364071858086685410343971601073438442568349313139
[root@k8s-m1 ~]# ls ca*
ca.csr ca-csr.json ca-key.pem ca.pem
4.确定证书类型
[root@k8s-m1 ~]# cat ca-config.json
{
"signing": {
"default": {
"expiry": "87600h"
},
"profiles": {
"peer": {
"usages": ["signing", "key encipherment", "server auth", "client auth"],
"expiry": "87600h"
}
}
}
}
这个策略,有一个默认的配置,和一个profile,可以设置多个profile,这里的profile是etcd。
默认策略,指定了证书的有效期是一年(8760h)
etcd策略,指定了证书的用途
signing, 表示该证书可用于签名其它证书;生成的 ca.pem 证书中 CA=TRUE
server auth:表示 client 可以用该 CA 对 server 提供的证书进行验证
client auth:表示 server 可以用该 CA 对 client 提供的证书进行验证
5.使用现有的CA私钥,生成证书
[root@k8s-m1 ~]# cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=peer ca-csr.json | cfssljson -bare dashboard.rongbiz.cn
6.验证
NGINX配置
server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name _;
root /usr/share/nginx/html;
ssl_certificate "/etc/nginx/ssl/dashboard.rongbiz.cn.pem"; #CRT
ssl_certificate_key "/etc/nginx/ssl/dashboard.rongbiz.cn-key.pem"; #key
.....
7.cfssl常用命令:
cfssl gencert -initca ca-csr.json | cfssl-json -bare ca ## 初始化ca
cfssl gencert -initca -ca-key key.pem ca-csr.json | cfssl-json -bare ca ## 使用现有私钥, 重新生成
cfssl cert-info -cert ca.pem
cfssl cert-info -csr ca.csr
查看cert(证书信息):
# cfssl certinfo -cert ca.pem
查看CSR(证书签名请求)信息:
# cfssl cert-info -csr ca.csr
8.参考
http://blog.51cto.com/liuzhengwei521/2120535?utm_source=oschina-app