以二进制文件安装K8S之创建CA根证书

为etcd和Kubernetes服务启用基于CA认证的安全机制，需要CA证书进行配置。 如果组织能够提供统一的CA认证中心，则直接使用组织颁发的CA证书即可。如果没有统一的CA认证中心，则可以通过颁发自签名的CA证书来完成安全配置。

如下以通过颁发自签名的CA证书来完成安全配置。 etcd和Kubernetes在制作CA证书时，均需要基于CA根证书。

创建CA根证书：

openssl genrsa -out ca.key 2048
openssl req -x509 -new -nodes -key ca.key -subj "/CN=192.168.3.135" -days 36500 -out ca.crt

参数如下：

• -subj：“/CN”的值为Master主机名或IP地址，如果这里使用了Master主机的主机名，则需要手动配置/etc/hosts
• -days：设置证书的有效期

将生成的ca.key和ca.crt文件保存在/etc/kubernetes/pki目录下。