Регистрация Войти
Рейтинг:2
avatar Server

Срок действия сертификата Rancher x509 еще не истек

флаг ec
cclloyd

При запуске kubectl я получаю сообщение об ошибке

Невозможно подключиться к серверу: x509: срок действия сертификата истек или еще не действителен: текущее время 2021-10-05T11:59:14-04:00 после 2021-09-29T19:21:40Z

Так ясно, что это говорит о том, что срок действия сертификата истек. Единственная проблема в том, что я не уверен, какой это сертификат.

я проверил

  • HAProxy (Rancher сидит за L7 HAProxy с сертификатом LE)
  • Сертификаты в секретах, показанных от sudo k3s kubectl получить секреты -n крупного рогатого скота
  • Сертификаты в /etc/кубернетес/ssl на узле K8s

Все в порядке (срок действия не истек), так как этот конкретный экземпляр rancher/k8s был запущен в июне, поэтому всем сертификатам всего несколько месяцев, и срок их действия истекает либо через 1 год, либо через 10 лет.

Итак, срок действия какого сертификата истек, и его необходимо обновить?

Немного информации о моей установке:

  • Rancher 2.5.9 HA (K3s v1.21.1+k3s1) (один узел, Ubuntu 20.04)
  • Kubernetes 1.20.9-rancher1-1 (один узел, плоскость управления/рабочий/и т. д., Ubuntu 20.04)
829
0 + 0
флаг in
mdaniel
Вы проверили сертификат, который обычно встроен в ваш kubeconfig? И действительно ли вы _смотрели_ на возвращаемый сертификат, как в `echo '' | openssl s_client -имя_сервера, что угодно.example.com -showcerts -connect, что угодно.example.com:6443 | openssl x509 -noout -text` какая сделка?
0
Ответить
флаг ec
cclloyd
@mdaniel да, все они действительны. И я только что сделал. Эта команда возвращает сертификат `/etc/kubernetes/ssl/kube-apiserver.pem`.
0
Ответить
флаг in
Adam
@cclloyd Вы нашли решение?
0
Ответить
флаг ec
cclloyd
@ Адам, сертификат LE был недействительным, потому что один из корневых сертификатов был недействительным. Пришлось обновить пакеты корневых сертификатов на хост-системах и повторно сгенерировать сертификат.
1
Ответить
Andrew Skorkin avatar
флаг tr
Andrew Skorkin
Привет @cclloyd Не могли бы вы опубликовать ответ, так как другим пользователям было бы лучше увидеть, что вы нашли решение, а также для индексации ответа сайтом?
0
Ответить
Рейтинг:1
Andrew Skorkin avatar Server
флаг tr
Andrew Skorkin

Это вики-ответ сообщества, опубликованный для лучшей видимости. Не стесняйтесь расширять его.

На основе информации из комментариев

Первопричина:

Один из корневых сертификатов недействителен. Это привело к тому, что сертификат Let's Encrypt стал недействительным.

Решение:

  1. Обновление пакетов корневых сертификатов на хост-системах
  2. Восстановить сертификат
0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.