2. 程式人生 > >etcd入門系列四:開啟客戶端證書訪問

etcd入門系列四:開啟客戶端證書訪問

阿新 發佈:2018-11-25

etcd入門系列

一. etcd在docker中的安裝與使用
二. etcd 開啟 https
三. 身份驗證訪問控制
四. 開啟客戶端證書訪問

1. 生成客戶端證書

生成client.json:

$ cfssl print-defaults csr > client.json

編輯 client.json 的修改 CN 值為 cliet

...
    "CN": "client",
    "hosts": [""],
...

生成客戶端證書

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=client client.json | cfssljson -bare client

將會得到如下檔案

client-key.pem
client.csr
client.pem

2. 開啟客戶端證書檢測

docker run -v /root/cfssl:/root/cfssl -p 2379:2379  --name etcd-net etcd /usr/local/bin/etcd  -name etcd-net  --client-cert-auth --trusted-ca-file=/root/cfssl/ca.pem --cert-file=/root/cfssl/server.pem --key-file=/root/cfssl/server-key.pem  -advertise-client-urls https://0.0.0.0:2379  -listen-client-urls https://0.0.0.0:2379

--client-cert-auth:當這個選項被設定時,etcd 將為受信任CA簽名的客戶端證書檢查所有的傳入的 HTTPS 請求,不能提供有效客戶端證書的請求將會失敗。
--trusted-ca-file=<path>: 受信任的認證機構

3. 驗證配置

輸入命令:

etcdctl --ca-file /root/cfssl/ca.pem --endpoints https://192.168.3.3:2379 set foo 1

返回結果:

routines:SSL3_READ_BYTES:sslv3 alert bad certificate
接下來,帶著之前生成的證書嘗試重新發送請求

etcdctl --ca-file /root/cfssl/ca.pem --cert-file /root/cfssl/client.pem --key-file /root/cfssl/client-key.pem --endpoints https://192.168.3.3:2379 set foo 1

//返回值:1

帶上證書後訪問可以如預期中進行,到此有關 etcd 的 安裝,角色許可權控制,客戶端證書與服務端通訊已經完成,如果大家在使用過程中有什麼問題,歡迎交流。

原文連線: http://www.artacode.com/posts/etcd/certificates/

相關推薦

etcd入門系列開啟客戶證書訪問

etcd入門系列 一. etcd在docker中的安裝與使用 二. etcd 開啟 https 三. 身份驗證訪問控制 四. 開啟客戶端證書訪問 1. 生成客戶端證書 生成client.json: $ cfssl print-defaults csr > client.

spring cloud 入門系列使用Hystrix 實現斷路器進行服務容錯保護

關系 調用 說明 schema 技術 能力 BE 最終 響應 在微服務中,我們將系統拆分為很多個服務單元,各單元之間通過服務註冊和訂閱消費的方式進行相互依賴。但是如果有一些服務出現問題了會怎麽樣? 比如說有三個服務(ABC),A調用B,B調用C。由於網絡延遲或C本身代碼有

etcd入門系列身份驗證訪問控制

etcd入門系列 一. etcd在docker中的安裝與使用 二. etcd 開啟 https 1. 簡介 etcd 預設是沒有開啟訪問控制的,如果我們開啟外網訪問的話就需要考慮訪問控制的問題,etcd 提供了兩種訪問控制的方式: 基於身份驗證的訪問控制 基於證

【WCF系列】()WCF客戶怎麽消費服務

class fig 完全 文件 自動 客戶 回收 ins 必須 WCF客戶端怎麽消費服務 獲取服務綁定協議、綁定和地址:實現方式 SvcUtil方式:SvcUtil.exe是一個命令行工具,位於:C:\Program Files (x86)\Microsoft SDKs

SpringCloud系列Eureka 服務發現框架(定義 Eureka 服務、Eureka 服務信息、Eureka 發現管理、Eureka 安全配置、Eureka-HA(高可用) 機制、Eureka 服務打包部署)

pac elf figure 傳遞 uri rect body 情況 服務組 1、概念:Eureka 服務發現框架 2、具體內容 對於服務發現框架可以簡單的理解為服務的註冊以及使用操作步驟,例如:在 ZooKeeper 組件,這個組件裏面已經明確的描述了一個服務的註冊以及發

深入淺出高性能服務發現、配置框架Nacos系列 3: 服務發現Nacos客戶初始化流程

tor trim 如何 try 文件的 client 註冊 rgs erro 上一章節,我們從全局了解了一下Nacos項目的模塊架構,做到了心中有數,現在,我們去逐步去挖掘裏面的代碼細節,很多人在學習開源的時候,無從下手,代碼那麽多,從哪個地方開始看呢?我們可以從一個接口開

Python之路(第三十篇) 網路程式設計驗證客戶合法性

一、驗證客戶端合法性 如果你想在分散式系統中實現一個簡單的客戶端連結認證功能,又不像SSL那麼複雜,那麼利用hmac+加鹽的方式來實現。   客戶端驗證的總的思路是將服務端隨機產生的指定位數的位元組傳送到客戶端,兩邊同時用hmac進行加密,然後對生成的密文進行比較,相同就是合法的客戶端,不相同就是不合法

SCCM2012 R2實戰系列之六安裝客戶代理軟件

max play 控制器 spa 客戶端代理 響應 bre 本地 客戶 在安裝客戶端代理軟件之前,請大家確保已經對本系列的第四和第五部分有了基本了解,而且對SCCM環境做了初始化配置和發現方法。我們目前討論的是加域的計算機,對於工作組的計算機還需要進行額外的配置。在上篇文章

C++傳智筆記(6)socket客戶發送報文接受報文的api接口

內存泄露 rcp 分配內存 strcpy light cpp tac 第三方 _file__ #define _CRT_SECURE_NO_WARNINGS #include "stdio.h" #include "stdlib.h" #include "string.

深入理解JAVA集合系列ArrayList源碼解讀

結束 了解 數組下標 size new 數組元素 開始 ini rem 在開始本章內容之前,這裏先簡單介紹下List的相關內容。 List的簡單介紹 有序的collection,用戶可以對列表中每個元素的插入位置進行精確的控制。用戶可以根據元素的整數索引(在列表中的位置)訪

(轉) 淘淘商城系列——使用FastDFS-Client客戶進行上傳圖片的測試

row 構造方法 無法 空間 依賴 ron 文件下載 信息 utils http://blog.csdn.net/yerenyuan_pku/article/details/72804018 不久之前,我們實現了商品的類目選擇這個功能,但這只是萬裏長征的第一步,我們還有很

機器學習入門機器學習的方法-神經網絡(轉載)

轉載 bsp 圖像 src nbsp 加速 數值 str 我們   轉自 飛鳥各投林   神經網絡      神經網絡(也稱之為人工神經網絡,ANN)算法是80年代機器學習界非常流行的算法,不過在90年代中途衰落。現在,攜著“深度學習”之勢,神

Spring Cloud 入門教程() 分布式環境下自動發現配置服務

.html article png discover ice conf label tail 註釋 前一章, 我們的Hello world應用服務,通過配置服務器Config Server獲取到了我們配置的hello信息“hello world”. 但自己的配置文件中必須配

Spring Cloud官方文檔中文版-服務發現Eureka客戶

auth locate inter attr context 本地緩存 數據集 god ati 官方文檔地址為:http://cloud.spring.io/spring-cloud-static/Brixton.SR7/#_spring_cloud_netflix 文中例

sed修煉系列()sed中的疑難雜癥

chan 滑動 特殊符號 container 源文件 重復 target 情況 即使 本文目錄:1 sed中使用變量和變量替換的問題2 反向引用失效問題3 "-i"選項的文件保存問題4 貪婪匹配問題5 sed命令"a"和"N"的糾葛 1.sed中使用變量和變量替換的問題

C# 互操作性入門系列(三)平臺調用中的數據封送處理

ask rsh 整數 stat charset ron pan cell 被調用 好文章搬用工模式啟動ing 。。。。。 {   文章中已經包含了原文鏈接 就不再次粘貼了   言明 改文章是一個系列,但只收錄了2篇,原因是 夠用了 } -------------------

第105天Ajax 客戶與服務器基本知識

rip web tp服務器 傳輸協議 環境 per oss 前端開發 acc 一、服務器 前言:通俗的講,能夠提供某種服務的機器(計算機)稱為服務器 1、服務器類型 - 按服務類型可分為:文件服務器、數據庫服務器、郵件服務器、Web服務器等 - 按操作系統可分為:Lin

23LVS客戶配置腳本案例

sys pan lvs prev all eof rip announce bin [root@web03 scripts]# cat prevent_arp.sh #!/bin/bash lo_ip=$(ip a s lo|grep "10.0.0.1[3]/32"

[轉]Netty入門(最簡單的Netty客戶/服務器程序)

serve exc new final 綁定 title graceful 關閉連接 listener  Java中的NIO是一種解決阻塞式IO問題的基本技術,但是NIO的編寫對java程序員是有比較高的要求的。那麽Netty就是一種簡化操作的一個成熟的網絡IO編程框架。這

多線程系列AQS-AbstractQueuedSynchronizer

線程阻塞 head 同步隊列 abstract 我們 再次 ive 打包 iter 什麽是AbstractQueuedSynchronizer?為什麽我們要分析它? AQS:抽象隊列同步器,原理是:當多個線程去獲取鎖的時候,如果獲取鎖失敗了,當前線程就會被打包成一個nod