如何使用商业证书代替 k8s 组件之间通信的 TLS 证书

• 資深大佬 : no1xsyzy

  商业证书怎么签给 kubernetes.default.svc.cluster.local 这个域名呢？怎么签给 private IP 呢？

• 資深大佬 : AkideLiu

  商业域名需要 dns 支持，域名真实存在，你这个上不了公网

• 資深大佬 : kimqcn

  内网没必要非得用商用设备证书，又不是给客户看，而且，贵！
  非得用，可以使用 cn=ip 的设备证书替换。
  国外的 CA （不考虑），国内的 CA，都有。
  听说国内在搞统一的国家根设备证书。

• 主 資深大佬 : borivosky

  @no1xsyzy 因为对这块不熟，也不知道有没有实现的可能性，所以想来问问。

• 主 資深大佬 : borivosky

  @kimqcn 大佬有没有相关的文章可以参考一下。目前只是想解决自签名证书不被信任的问题，想到的就是把自签名证书换成商业证书。大佬如果有其他的方案可以提示一下吗？

• 主 資深大佬 : borivosky

  @AkideLiu 所以可以确定没有可行性吗？

• 資深大佬 : sheeta

  根本就不可能替换成商业证书
  @borivosky

• 資深大佬 : xyjincan

  安全部门给自建 ca 吗，像以前 12306 一样

• 資深大佬 : dangge

  买一个域名，然后给这个域名签发证书，内网把 DNS 解析全部做成内网 IP 不就好了。。。
  然后你可以去找老板发出灵魂拷问：
  现在购买的互信证书最长有效期 13 个月，每年要停机换一次证书。

• 主 資深大佬 : borivosky

  @xyjincan 这个我不确定安全部门给不给(或者能不能)自建 ca，得等下次开会的时候确认一下。多谢提供思路。
• 資深大佬 : Hurriance

  本地开发环境我是用 mkcert 生成的，不算是自签名的，供主参考一下

• 主 資深大佬 : borivosky

  @Hurriance 好的，多谢提供思路。其实主要矛盾是使用自签名证书会被 Nessus Tenable SC 扫描出说不安全，当时我想到的就只是用商业证书替换自签名证书。不过可以试一下 mkcert 是不是也会有同样的问题

• 主 資深大佬 : borivosky

  @dangge 哈哈哈 这个思路可以，先去发出灵魂的拷问，看看老板会不会去解决提出问题的人。

• 資深大佬 : no1xsyzy

  @Hurriance mkcert 自建 CA 啊，但你的自建 CA 还是自签名的不是？
  自签名说的就是 CA，不是实际使用的证书，主题给的链接就是这套做法，不是说封装起来就不算了的……

• 資深大佬 : Jirajine

  @no1xsyzy 自签名是指证书自己给自己签名，证书主体和签发者相同，不是指 private CA 。

  自签证书不安全不代表 private CA 不安全，private CA 私钥自己保管，安全性自己负责，相比之下 public CA 安全性反而不可控。
  自建 CA 推荐直接用 https://smallstep.com/docs/step-ca mkcert 那种开发用的就算了。

• 資深大佬 : AkideLiu

  @borivosky 其实原理很简单。你的.local 域名在你的内网存在，我的.local 在我的内网存在。

  你所谓的商业 ca，也就是证书颁发机构无法验证你对于.local 域的所有权。所以不可能给你可信的证书。

  简单道理，你可以去找任何 ca 公司申请 Google.com 的证书，但是如果你不能提供所有权验证，没有人敢也没有人可以把证书颁发给你。

  overall，impossible

• 資深大佬 : Ptu2sha

  目测安全部门在刷 kpi 或者水货？

• 資深大佬 : joesonw

  搜索关键词, kubernetes Using Vault as a CA

• 資深大佬 : 0312birdzhang

  @dangge +1，停机换证书才是更需要考虑的， .loca 我记得是可以改的。

• 資深大佬 : tkl

  @dangge 为什么要等到过期，我提前换

• 資深大佬 : no1xsyzy

  @Jirajine 请参考主的教程，其实是在搞自建 CA，而不只是搞一个自签名证书…… 我是在吐槽这个
  话说集群不用 CA 怎么 “互” 信？ 要配置 n*(n-1) 个证书么？