17. 生成您自己的 mTLS 根证书

为了支持网格化 Pod 之间的 mTLS 连接Linkerd 需要一个信任锚证书和一个带有相应 key颁发者证书

使用 linkerd install 安装时,会自动生成这些证书。 或者,您可以使用 --identity-* flag 指定您自己的 flag (请参阅linkerd install reference)。

另一方面,使用 Helm 安装 Linkerd 时,无法自动生成它们,您需要提供它们。

您可以使用 opensslstep 等工具生成这些证书。 所有证书必须使用 ECDSA P-256 算法,这是 step 的默认值。 要使用 openssl 生成 ECDSA P-256 证书,您可以使用 openssl ecparam -name prime256v1 命令。 在本教程中,我们将向您介绍如何使用 step CLI 来执行此操作。

使用 step 生成证书

信任锚证书

首先使用其私钥(private key)生成根证书(使用 step 版本 0.10.1):

step certificate create root.linkerd.cluster.local ca.crt ca.key \
--profile root-ca --no-password --insecure

这将生成 ca.crtca.key 文件。 ca.crt 文件是使用 CLI 安装 Linkerd 时需要传递给 --identity-trust-anchors-file 选项的文件, 以及使用 Helm 安装 Linkerd 时的 identityTrustAnchorsPEM 值。

请注意,我们使用 --no-password --insecure 来避免使用密码短语(passphrase)加密这些文件。

对于寿命更长(longer-lived)的信任锚证书, 将 --not-after 参数传递给具有所需值的 step 命令(例如 --not-after=87600h)。

颁发者证书和 key

然后生成将用于签署 Linkerd 代理的 CSR中间证书(intermediate certificate)密钥(key)对。

step certificate create identity.linkerd.cluster.local issuer.crt issuer.key \
--profile intermediate-ca --not-after 8760h --no-password --insecure \
--ca ca.crt --ca-key ca.key

这将生成 issuer.crtissuer.key 文件。

将证书传递给 Linkerd

在使用 CLI 安装 Linkerd 时,您最终可以提供这些文件:

linkerd install \
  --identity-trust-anchors-file ca.crt \
  --identity-issuer-certificate-file issuer.crt \
  --identity-issuer-key-file issuer.key \
  | kubectl apply -f -

或者在使用 Helm 安装时:

helm install linkerd2 \
  --set-file identityTrustAnchorsPEM=ca.crt \
  --set-file identity.issuer.tls.crtPEM=issuer.crt \
  --set-file identity.issuer.tls.keyPEM=issuer.key \
  --set identity.issuer.crtExpiry=$(date -d '+8760 hour' +"%Y-%m-%dT%H:%M:%SZ") \
  linkerd/linkerd2