K8S 证书过期解决办法

最新推荐文章于 2025-07-09 16:44:42 发布
转载 最新推荐文章于 2025-07-09 16:44:42 发布 · 1k 阅读 · 3 ·
CC 4.0 BY-SA版权
原文链接:https://blog.csdn.net/erhaiou2008/article/details/124168680?spm=1001.2101.3001.6650.3&utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7ECTRLIST%7ERate-3-124168680-blog-131990391.235%5Ev39%5Epc_relevant_anti_vip_base&depth_1-utm_source=distrib
文章标签:

#kubernetes #云原生 #kubernetes证书

问题现象
K8S集群证书过期后,会导无法创建Pod,通过kubectl get nodes也无法获取信息,甚至dashboard也无法访问。

执行命令发现报错:
Unable to connect to the server: x509: certificate has expired or is not yet valid

查看K8S的日志:

Part of the existing bootstrap client certificate is expired: 2021-06-10 06:29:04 +0000 UT
这是说明k8s使用的证书过期了,k8s自带证书是一年的有效期。所以我们解决问题的办法就是更换证书。

一、确认K8S证书过期时间

查看k8s某一证书过期时间:

openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text | grep Not

显示如下,通过下面可看到证书有效期是1年,从2021到2023年:

# openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep ' Not '
            Not Before: Apr 27 10:30:15 2021 GMT
            Not After : Mar 25 07:53:53 2023 GMT
   如果遇到 openssl: error while loading shared libraries: libssl.so.1.1: cannot open shared object file
    查找一下libssl.so.1.1的位置,然后连接到/usr/lib64/libssl.so.1.1即可。如下我的位置是在/usr/local/lib64/libssl.so.1.1,连接到/usr/lib64/libssl.so.1.1就可以了。
    [root@localhost ~]# find / -name libssl.so.1.1
    /usr/local/lib64/libssl.so.1.1
    [root@localhost ~]# ln -s /usr/local/lib64/libssl.so.1.1  /usr/lib64/libssl.so.1.1
    [root@localhost ~]# ln -s /usr/local/lib64/libcrypto.so.1.1  /usr/lib64/libcrypto.so.1.1
    [root@localhost ~]# openssl version
    OpenSSL 1.1.1  11 Sep 2018

其它证书同理,K8s各个证书过期时间如下:

/etc/kubernetes/pki/apiserver.crt           #1年有效期
/etc/kubernetes/pki/front-proxy-ca.crt        #10年有效期
/etc/kubernetes/pki/ca.crt              #10年有效期
/etc/kubernetes/pki/apiserver-etcd-client.crt    #1年有效期
/etc/kubernetes/pki/front-proxy-client.crt      #1年有效期
/etc/kubernetes/pki/etcd/server.crt         #1年有效期
/etc/kubernetes/pki/etcd/ca.crt           #10年有效期
/etc/kubernetes/pki/etcd/peer.crt          #1年有效期
/etc/kubernetes/pki/etcd/healthcheck-client.crt  #1年有效期
/etc/kubernetes/pki/apiserver-kubelet-client.crt  #1年有效期

或使用统一命令查看

kubeadm alpha certs check-expiration

二、使用延长证书过期的方法解决K8S证书过期问题

K8S在过期之前,使用kubeadm alpha phase里的certs和kubeconfig命令,同时配合kubelet证书自动轮换机制来解决这个问题(具体操作可以百度搜索),这里介绍证书已经过期的解决方法,以下延长证书过期的方法适合kubernetes1.14、1.15、1.16、1.17、1.18版本。操作步骤如下:

2.1 下载update-kubeadm-cert.sh

百度网盘下载:
链接:https://pan.baidu.com/s/1WyVAwyL3mOGVFgpQ2tomCw
提取码:f6sa

2.2 把update-kubeadm-cert.sh文件上传到k8s各节点任意位置


2.3 在每个节点都执行如下命令

1)给update-kubeadm-cert.sh证书授权可执行权限
chmod +x update-kubeadm-cert.sh

2)执行下面命令,修改证书过期时间,把时间延长到10年
./update-kubeadm-cert.sh all

3)在master节点查询Pod是否正常,能查询出数据说明证书签发完成
注:执行命令时需要断开连接重新连接命令才生效

kubectl  get pods -n kube-system

显示如下,能够看到pod信息,说明证书签发正常:

4)重启kubelet
systemctl restart kubelet

三、验证证书有效时间是否延长到10年

openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text  | grep Not
显示如下,通过下面可看到apiserver证书有效期是10年,从2021到2031年: 

 其它证书同理进行验证,或使用统一查看命令

kubeadm alpha certs check-expiration


————————————————
版权声明:本文为CSDN博主「网络飞鸥」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/erhaiou2008/article/details/124168680


————————————————

k8s 证书过期【完美解决】:x509_ certificate has expired or is not yet valid
甘蓝的专栏
04-08 1773
【完美解决】k8s证书在安装1年后过期,导致k8s集群不可用的问题!
K8S证书过期问题处理方法
wangwu9999的博客
12-06 4586
最近有些客户在使用SuperMap iManager for K8S的过程中遇到服务无法访问,查看K8S的日志 Part of the existing bootstrap client certificate is expired: 2021-06-10 06:29:04 +0000 UT 这是说明k8s使用的证书过期了,k8s自带证书是一年的有效期。所以我们解决问题的办法就是更换证书。 以下延长证书过期的方法适合kubernetes1.14、1.15、1.16、1.17、1.18版本 下载所需
k8s证书过期问题处理
m0_49710410的博客
10-16 1109
处理k8s证书过期问题,使用 kubelet get node 后报错: x509: certificate has expired or is not yet valid ,提示证书过期。找到cmd/kubeadm/app/constants/constants.go文件,并修改CertificateValidity为time.Hour * 24 * 365 * 99,如果不需要自定义证书时间,可以直接下载:kubeadm,从3.4开始执行即可,默认证书过期时间为99年。
K8S证书过期处理
李半仙
10-09 1348
K8S证书过期处理 一、查看证书过期时间 find /etc/kubernetes/pki/ -type f -name "*.crt" -print|xargs -L 1 -t -i bash -c 'openssl x509 -noout -text -in {}|grep After' 二、备份原来的配置文件和证书 find /etc/kubernetes/pki/ -regex '.*.[crt|key]'|grep -v sa|grep -v ca|xargs -i cp {} /opt/ 三
处理k8s、etcd证书过期(静态pod方式)
最新发布
weixin_62986938的博客
07-09 235
4、等待pod更新,如etcd提示证书过期、还是加载的老证书那就更新一下master节点的etcd证书。kubeadm init phase certs etcd-server #更新本机证书。kubeadm init phase certs etcd-peer #更新本机证书。3、停止、删除所有pod。1、查看证书过期时间。
K8s 集群(kubeadm) CA 证书过期解决方案
RAB
07-04 3540
K8s 集群(kubeadm) CA 证书过期解决方案。
K8S 证书到期解决方法
weixin_44772835的博客
03-18 459
前戏登录测试环境查看 pod 时保持如下内容Unable to connect to the server: x509: certificate has expired or is not yet valid: current time 2023-03-16T23:18:09+08:00 is after 2023-02-...
K8S集群证书过期,一键修复指南 | 干货分享
weixin_38320674的博客
10-09 1748
在日常维护Kubernetes集群时,如果在安装的时候没有把证书设置足够长的时间,那运行一段时间k8s就会面临证书过期的问题。如果处理不及时,会导致kubectl命令无法使用,集群服务瘫痪。本文将详细讲解在k8s集群证书已经过期的情况下,如何检查和更新证书,有效延长证书有效期,并确保集群恢复正常运行。通过几步操作,你可以轻松解决证书过期问题,避免实验环境或生产集群长时间宕机。一、检查证书状态首先...
K8S证书过期解决办法之替换证书
热门推荐
q_hsolucky的博客
06-20 1万+
k8s证书过期解决方案之替换证书
k8s证书过期处理办法
qq_31354099的博客
03-17 1159
etc/kubernetes/pki/apiserver-etcd-client.crt #1年有效期。/etc/kubernetes/pki/etcd/healthcheck-client.crt #1年有效期。/etc/kubernetes/pki/etcd/server.crt #1年有效期。/etc/kubernetes/pki/etcd/peer.crt #1年有效期。kubeadm alpha certs renew all //所有证书延长一年。
k8s证书过期如何更换
08-18
解决k8s证书过期的问题,首先需要确认证书过期时间。可以使用命令"kubeadm alpha certs check-expiration"来查看证书过期时间。如果证书已经过期,可以使用以下方法来延长证书有效期。 1. 使用"kubeadm alpha...
K8S-证书过期问题:默认1年
only_xiao_的博客
03-28 607
k8s证书过期
k8s集群证书过期解决
weixin_45112997的博客
08-29 2833
k8s集群证书过期解决
k8s证书更新,kubeadm安装的K8S证书过期后无法使用后证书更新方法
qq_759035366的博客
07-30 2632
k8s证书更新,kubeadm安装的K8S证书过期后无法使用后证书更新方法. 一般情况下,k8s创建的集群节点上的/usr/bin/文件夹下会存在kubeadm二进制文件,如果发现master节点上没有kubeadm,可以从。k8s安装一年后证书显示过期。以下操作需到所有master节点操作。对应的版本并且安装。
k8s 证书过期解决
jiangbenchu的博客
11-16 1万+
K8S CA证书是10年,但是组件证书的日期只有1年,为了证书一直可用状态需要更新,目前主流的一共有3种: 1、版本升级,只要升级就会让各个证书延期1年,官方设置1年有效期的目的就是希望用户在一年内能升级1次,详见:k8s升级 2、通过命令续期 (这种只能延长一年) 3、编译源码Kubeadm,设置10年 一、查看证书过期时间 vim test.sh for item in `find /etc/kubernetes/pki -maxdepth 2 -name "*.crt"`; do openssl x5
云原生Kubernetes----证书过期处理办法
hy199707的博客
06-19 3383
随着云计算技术的飞速发展,Kubernetes已成为企业构建、扩展和管理容器化应用程序的首选平台。然而,随着集群的持续运行,在企业中经常会遇到一个问题——Kubernetes集群的证书过期。这个问题不仅影响集群的稳定性,还可能带来安全风险。本文将深入探讨Kubernetes证书过期的问题、影响以及解决方案
解决K8S证书过期步骤(续一年)
weixin_41914251的博客
06-25 2537
K8S 各个组件需要与 api-server 进行通信,通信使用的证书都存放在 /etc/kubernetes/pki 路径下,kubeadm 生成的证书默认有效为 1 年,因此需要定时更新证书,否则证书到期会导致整个集群不可用。本篇文章主要介绍如何通过 kubeadm 重新生成证书。有其他的办法可以更长时间的延长证书。8、替换kubeconfig。9、查看证书时间(续一年)7、重启kubelet。4、重新生成全部证书。6、生成所有配置文件。
k8s Client certificate is about to expire 客户端访问 APIServer 证书过期
m0_60696455的博客
11-12 4076
prometheus rule 客户端访问 APIServer 证书过期问题 KubeClientCertificateExpiration (1 active) name: KubeClientCertificateExpiration expr: apiserver_client_certificate_expiration_seconds_count{job="apiserver"} > 0 and on(job) histogram_quantile(0.01, sum by(j...
k8s查看证书有效期的两种方法
学亮编程手记
05-17 3675
查看Kubernetes (k8s) 集群中各个组件的证书有效期,您可以使用不同的方法,具体取决于您的集群是如何部署和配置的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值