SSL 证书和相关概念
PKI
- 公钥基础设
- 一个完整的 PKI 包括以下几个部分:
- 端实体(申请者,发给谁的)
- 注册机构(RC)
- 签证机构(CA,谁发的)
- 证书撤销列表(CRL,什么时候过期)
- 证书存取库
SSL
- SSL 证书来源
- 网络第三方机构购买(看不同的安全级别,中等的 3000 左右):通常用于外部用户访问使用
- 自签证书:自己给自己发证书,通常用于内部环境
- 签证机构
- 自建 CA
- openssl
- cfssl(简单)
- 自建 CA
加密
- 对称加密
- 区分:加密解密用相同的秘钥
- 隐患:数据传输过程中,同时发送加密数据和加密秘钥
- 非对称加密
- 使用密钥对(公钥 - 私钥)的形式进行加解密
- 使用:银行、淘宝
- 单向加密
- 只能加密,不能解密
- 如 MD5 (md5sum,md5sum -c)
三、给 etcd 颁发证书
- 创建证书颁发机构
- 填写表单,写明 etcd 所在节点的 IP
- 向证书颁发机构申请证书
- 上传 TLS 安装包:
- 解压缩:
- 注册表单
四、部署 etcd
etcd 需要三台虚拟机
在 master,node1,node2 上分别安装一个 etcd
- 准备文件
- 修改 etcd 的配置文件
- 复制证书文件
- 配置 worker 节点
- 在 node1 上修改 etcd 的配置文件
- 在 node2 上修改 etcd 的配置文件
- 在三个节点上依次启动 etcd 服务
- 两个配置文件
(未完待续…)
评论区