K8S集群更新api-sever证书的SAN属性
一、场景
1、当你的api-server需要更新API 服务器的地址和端口号就会使用到SAN属性证书。
2、查看证书的SAN属性
openssl x509 -in server.crt -text -noout | grep -A1 "Subject Alternative Name"
*192.168.91.105是我更新的kube-vip进去,这样如果访问 192.168.91.105:6443我依然可以访问api-server.
二、如何更新SAN证书的步骤
1、生成新的证书签名请求 (CSR)
首先,生成一个新的私钥和 CSR 文件,确保包含 192.168.91.105 作为 SAN:
openssl req -new -key /etc/kubernetes/ssl/kube-apiserver-key.pem -out kube-apiserver.csr -subj "/CN=kube-apiserver" -addext "subjectAltName = IP:192.168.91.1