kubernetes二进制部署时ca认证排错记录

本文记录了在使用二进制方式部署Kubernetes v1.8.3时遇到的CA认证问题,包括IP SANs问题和'certificate signed by unknown authority'错误。解决方案分别涉及修改openssl.cnf配置添加IP SANs,以及将自签名CA添加到操作系统信任列表。

在用二进制部署kubernetes v1.8.3时,遭遇两个ca认证的问题,特记录如下.


1 IP SANs问题

 x509: cannot validate certificate for <worker_node_ip> because it doesn't contain any IP SANs


网上搜到的解决办法如下:

        修改 /etc/pki/tls/openssl.cnf 配置,在该文件中找到 [ v3_ca ] ,在它下面添加如下内容:

                [ v3_ca ] # Extensions for a typical CA
                    subjectAltName = IP:123.56.157.144    修改对应IP信息

  ipsans是 x509新加入的协议

因为笔者不是用的openssl工具制作的ca证书,用的easyrsa3,通过查看easyrsa的文档,解决方法如下:




2  x509: certificate signed by unknown authority (possibly because of "crypto/rsa: verification error

出现这个错误的原因,是因为自签名的证书未得到操作系统认可,ca不在操作系统认可的ca列表里,解决办法如下:



最终kubeconfig如下




参考:  https://www.qiansw.com/add-the-ca-root-certificate-to-the-operating-system-for-trust.html

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值