共计 4062 个字符,预计需要花费 11 分钟才能阅读完成。
一、cfssl 是什么
阿蛮君在看很多视频的时候都看见过 cfssl 这个工具,所有抽时间了解了下。
在实际的工作中经常遇到制作自定义的服务器证书的场景,目前能够制作 CA 根证书及服务器证书有 openssl 及 cfssl 两种常用工具,之前介绍过 openssl 的 v3版 ssl 证书制作和 nginx 配置证书。
下面了解一下 cfssl 和它的使用。
cfssl 是 CloudFlare 开源的一款 PKI/TLS 工具。 cfssl 包含一个命令行工具 和一个用于签名,验证并且捆绑TLS证书的 HTTP API 服务。 使用Go语言编写。(目前常被用做 k8s 集群生成证书)
二、安装 cfssl
1. 直接安装
- 下载安装
curl -s -L -o /usr/bin/cfssl https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 && \
curl -s -L -o /usr/bin/cfssljson https://pkg.cfssl.org/R1.2/ cfssljson_linux-amd64 && \
curl -s -L -o /usr/bin/cfssl-certinfo https://pkg.cfssl.org/R1.2/ cfssl-certinfo_linux-amd64 && \
chmod +x /bin/cfssl*
- 从 docker 容器拷贝
cat > entrypoint.sh<<EOF
#!/bin/sh
tail -f /dev/null
EOF
chmod +x entrypoint.sh
docker run -d --name cfssl -v $PWD:/workdir --entrypoint "/workdir/entrypoint.sh" cfssl/cfssl && \
docker cp cfssl:/usr/bin/cfssl . && \
docker cp cfssl:/usr/bin/cfssljson . && \
docker cp cfssl:/usr/bin/cfssl-certinfo . && \
mv cfssl* /usr/bin
2. docker 安装
docker pull cfssl/cfssl
docker 安装方式与直接安装不同的是使用方式不同。
cfssl/cfssl
镜像使用 /workdir
作为工作目录,为了使用方便可以使用宿主机当前目录映射到 /workdir。所以说需要的文件都应放在当前目录下,过程生成的文件也会输出在当前目录。
例如:docker run --rm -v $PWD:/workdir cfssl/cfssl certinfo -cert ca.crt
,ca.crt 证书文件需要放在当前目录下,否则提示没有这个文件。
三、cfssl 命令
使用 cfssl --help
可以看见 cfssl 工具的相关命令。
version # 查看 cfssl 版本
selfsign # 生成一个新的自签名密钥和签名证书
certinfo # 输出给定证书的证书信息, 跟 cfssl-certinfo 工具作用一样
print-defaults # 打印json格式的模板-ca签名配置文件和客户端证书请求文件
# config:生成ca配置模板文件
# csr:生成证书请求模板文件
gencert # 生成新的key(密钥)和签名证书
# -initca:初始化一个新ca (默认false,需要指定ca证书用以前面其他证书)
# -ca:ca的证书
# -ca-key:ca的私钥文件
# -config:请求证书的json文件
# -profile:与-config中的profile对应,是指根据config中的profile段来生成证书的相关信息
sign # 签名一个客户端证书,通过给定的CA和CA密钥,和主机名
revoke # 吊销证书
info # 获取签名者信息
bundle # 创建包含客户端证书的证书包
serve # 启动一个HTTP API服务
genkey # 生成一个key(私钥)和csr(证书签名请求)
gencsr # 生成新的证书请求文件
gencrl # 生成新的证书吊销列表
1. cfssl selfsign
用于生成一个自签名证书,即自己颁发给自己的证书。
提示自签名证书很危险,使用此自签名证书风险自负,强烈建议不要使用这些证书在生产中。
# 1. 生成证书请求文件
cat > server-csr.json<<EOF
{
"CN":"www.amjun.com",
"hosts":[
"127.0.0.1",
"192.168.1.1",
"amjun.com",
"www.amjun.com"
],
"key":{
"algo":"rsa",
"size":2048
},
"names":[
{
"OU":"iot",
"O":"unipower",
"ST":"GuangZhou",
"L":"GuangDong",
"C":"CN"
}
]
}
EOF
# 2. 生成私钥和证书
# 使用方式 cfssl selfsign HOSTNAME CSRJSON
cfssl selfsign www.amjun.com server-csr.json | cfssljson -bare server
# docker方式:
docker run --rm -v $PWD:/workdir cfssl/cfssl selfsign www.amjun.com server-csr.json | cfssljson -bare server
# 3. 查看证书
cfssl certinfo -cert server.pem
2. cfssl gencert
使用证书请求文件生成证书。
2.1 生成 CA 证书
与自签名证书类似,生成 CA 证书也需要证书请求文件。
# 1. 生成证书请求文件
cat > ca-csr.json <<EOF
{
"CN":"kubernetes",
"key":{
"algo":"rsa",
"size":2048
},
"names":[
{
"C":"CN",
"L":"Hebei",
"ST":"Zhangjiakou",
"O":"k8s",
"OU":"System"
}
]
}
EOF
# 2. 生成证书
# -initca 指定这个生成 ca 证书,否则需要指定 ca 证书
cfssl gencert -initca ca-csr.json | cfssljson -bare ca
# docker方式:
docker run --rm -v $PWD:/workdir cfssl/cfssl gencert -initca ca-csr.json | cfssljson -bare ca
2.2 生成 CA 签名的证书
# 1. 生成证书配置文件(CA 进行签名时需要的配置)
cat > ca-config.json <<EOF
{
"signing":{
"default":{
"expiry":"87600h"
},
"profiles":{
"kubernetes":{
"expiry":"87600h",
"usages":[
"signing",
"key encipherment",
"server auth",
"client auth"
]
}
}
}
}
EOF
# 这个策略,有一个默认的配置,和一个profile,可以设置多个profile,这里的profile是etcd。
# 默认策略,指定了证书的有效期是一年(8760h)
# etcd策略,指定了证书的用途
# signing, 表示该证书可用于签名其它证书;生成的 ca.pem 证书中 CA=TRUE
# server auth:表示 client 可以用该 CA 对 server 提供的证书进行验证
# client auth:表示 server 可以用该 CA 对 client 提供的证书进行验证
# 2. 生成服务端证书请求文件
cat > server-csr.json <<EOF
{
"CN":"server",
"hosts":[
"127.0.0.1",
"192.168.0.211",
"192.168.0.212",
"192.168.0.213",
"10.10.10.1",
"kubernetes",
"kubernetes.default",
"kubernetes.default.svc",
"kubernetes.default.svc.cluster",
"kubernetes.default.svc.cluste.local"
],
"key":{
"algo":"rsa",
"size":2048
},
"names":[
{
"C":"CN",
"L":"Hebei",
"ST":"Zhangjiakou",
"O":"k8s",
"OU":"System"
}
]
}
EOF
# 3. 基于之前生成的ca证书生成证书
cfssl gencert \
-ca=ca.pem \
-ca-key=ca-key.pem \
-config=ca-config.json \
-profile=kubernetes \
server-csr.json | cfssljson -bare server
# docker方式:
docker run --rm -v $PWD:/workdir cfssl/cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes server-csr.json | cfssljson -bare server
# 3. 查看证书
cfssl certinfo -cert server.pem
常用的就上面两个命令,基本满足日常使用
下面讲讲其他的命令,有部分是前面的命令的其中一步。比如,下面cfssl genkey
就是只生成 key 文件和证书请求文件,并不会生成证书。
3. cfssl genkey
# 1. 生成证书配置文件
cat > ca-config.json <<EOF
{
"signing":{
"default":{
"expiry":"87600h"
},
"profiles":{
"kubernetes":{
"expiry":"87600h",
"usages":[
"signing",
"key encipherment",
"server auth",
"client auth"
]
}
}
}
}
EOF
# 2. 生成密钥文件
cfssl genkey ca-config.json | cfssljson -bare ca
提醒:本文发布于703天前,文中所关联的信息可能已发生改变,请知悉!