问题描述
我正在尝试使用具有IP SAN的证书颁发机构为k8s节点签署证书。
但是我可以在生成的X509v3 Subject Alternative Name中看到CSR扩展名,但在签名证书中却看不到。
这是我的CSR配置文件:
[centos@cpu-node0 ~]$ cat /etc/kubernetes/ssl/openssl.conf
[ req ]
prompt = no
distinguished_name = req_distinguished_name
req_extensions = req_ext
string_mask = utf8only
default_md = sha256
default_bits = 4096
[ req_distinguished_name ]
O=Org
CN = "cpu-node0"
emailAddress = "[email protected]"
[ req_ext ]
subjectAltName= @alt_names
[alt_names]
DNS.1 = "cpu-node0"
IP.1 = "192.168.33.143"
[centos@cpu-node0 ~]$
这是我创建CSR的方式:
[centos@cpu-node0 ~]$ openssl req -config /etc/kubernetes/ssl/openssl.conf -new -key /var/lib/kubelet/kubelet.key -out /etc/kubernetes/ssl/kubelet.csr
这是用于CSR进行证书签名的命令:
[centos@cpu-node0 ~]$ sudo openssl x509 -req -days 365 -in /etc/kubernetes/ssl/kubelet.csr -CA /etc/kubernetes/ssl/ca.crt -CAkey /etc/kubernetes/ssl/ca.key -CAcreateserial -out /var/lib/kubelet/pki/kubelet.crt
从下图中可以看到,CSR具有IP SAN扩展名,而证书则没有。
CSR检查输出
证书检查输出。
请问这里为什么我的证书中没有DNS或IP SAN?要使它按预期工作应该怎么做?
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)