CertificateSigningRequest
apiVersion: certificates.k8s.io/v1
import "k8s.io/api/certificates/v1"
CertificateSigningRequest
CertificateSigningRequest 对象提供了一种机制,通过提交证书签名请求来获取 x509 证书,并异步批准和颁发。
Kubelets 使用此 API 获取
- 客户端证书以向 kube-apiserver 进行身份验证(使用“kubernetes.io/kube-apiserver-client-kubelet”签名者名称)。
- 用于 TLS 端点的服务证书,kube-apiserver 可以安全地连接到这些端点(使用“kubernetes.io/kubelet-serving”签名者名称)。
此 API 可用于请求客户端证书以向 kube-apiserver 进行身份验证(使用“kubernetes.io/kube-apiserver-client”签名者名称),或从自定义非 Kubernetes 签名者获取证书。
apiVersion: certificates.k8s.io/v1
kind: CertificateSigningRequest
metadata (ObjectMeta)
spec (CertificateSigningRequestSpec), 必需
spec 包含证书请求,并且在创建后不可变。只有请求、signerName、expirationSeconds 和 usages 字段可以在创建时设置。其他字段由 Kubernetes 推断,用户无法修改。
status (CertificateSigningRequestStatus)
status 包含有关请求是否已批准或拒绝的信息,以及签名者颁发的证书,或指示签名者失败的失败条件。
CertificateSigningRequestSpec
CertificateSigningRequestSpec 包含证书请求。
request ([]byte), 必需
原子:在合并期间将被替换
request 包含一个以“CERTIFICATE REQUEST”PEM 块编码的 x509 证书签名请求。当序列化为 JSON 或 YAML 时,数据还会进行 base64 编码。
signerName (string), 必需
signerName 指示请求的签名者,并且是一个限定名称。
对 CertificateSigningRequests 的列表/观察请求可以使用“spec.signerName=NAME”字段选择器对该字段进行过滤。
众所周知的 Kubernetes 签名者是
- "kubernetes.io/kube-apiserver-client": 颁发可用于向 kube-apiserver 进行身份验证的客户端证书。对该签名者的请求永远不会被 kube-controller-manager 自动批准,可以由 kube-controller-manager 中的“csrsigning”控制器颁发。
- "kubernetes.io/kube-apiserver-client-kubelet": 颁发 kubelets 用于向 kube-apiserver 进行身份验证的客户端证书。对该签名者的请求可以由 kube-controller-manager 中的“csrapproving”控制器自动批准,也可以由 kube-controller-manager 中的“csrsigning”控制器颁发。
- "kubernetes.io/kubelet-serving" 颁发 kubelets 用于为 TLS 端点提供服务的证书,kube-apiserver 可以安全地连接到这些端点。对该签名者的请求永远不会被 kube-controller-manager 自动批准,可以由 kube-controller-manager 中的“csrsigning”控制器颁发。
更多详细信息请访问 https://k8s.io/docs/reference/access-authn-authz/certificate-signing-requests/#kubernetes-signers
也可以指定自定义 signerNames。签名者定义
- 信任分发:信任(CA 捆绑包)如何分发。
- 允许的主题:以及请求不允许的主题时的行为。
- 请求中必需的、允许的或禁止的 x509 扩展(包括是否允许主题备用名称、哪些类型、对允许值的限制)以及请求不允许的扩展时的行为。
- 必需的、允许的或禁止的密钥用法/扩展密钥用法。
- 到期/证书生命周期:签名者是否固定,管理员是否可配置。
- 是否允许请求 CA 证书。
expirationSeconds (int32)
expirationSeconds 是颁发的证书的请求有效期。证书签名者可能会颁发有效期不同的证书,因此客户端必须检查颁发的证书中 notBefore 和 and notAfter 字段之间的差值,以确定实际有效期。
v1.22+ 的 Kubernetes 签名者的树内实现将尊重该字段,只要请求的有效期不超过 Kubernetes 控制器管理器对 --cluster-signing-duration CLI 标志的尊重最大有效期。
证书签名者可能出于各种原因不尊重该字段
- 不知道该字段的旧签名者(例如 v1.22 之前的树内实现)
- 配置的最大值短于请求的有效期的签名者
- 配置的最小值长于请求的有效期的签名者
expirationSeconds 的最小有效值为 600,即 10 分钟。
extra (map[string][]string)
extra 包含创建 CertificateSigningRequest 的用户的额外属性。在创建时由 API 服务器填充,并且不可变。
groups ([]string)
原子:在合并期间将被替换
groups 包含创建 CertificateSigningRequest 的用户的组成员资格。在创建时由 API 服务器填充,并且不可变。
uid (string)
uid 包含创建 CertificateSigningRequest 的用户的 uid。在创建时由 API 服务器填充,并且不可变。
usages ([]string)
原子:在合并期间将被替换
usages 指定在颁发的证书中请求的一组密钥用法。
对 TLS 客户端证书的请求通常请求:“数字签名”、“密钥加密”、“客户端身份验证”。
对 TLS 服务证书的请求通常请求:“密钥加密”、“数字签名”、“服务器身份验证”。
有效值为:“签名”、“数字签名”、“内容承诺”、“密钥加密”、“密钥协商”、“数据加密”、“证书签名”、“CRL 签名”、“仅加密”、“仅解密”、“任何”、“服务器身份验证”、“客户端身份验证”、“代码签名”、“电子邮件保护”、“s/mime”、“IPsec 端系统”、“IPsec 隧道”、“IPsec 用户”、“时间戳”、“OCSP 签名”、“Microsoft SGC”、“Netscape SGC”
username (string)
username 包含创建 CertificateSigningRequest 的用户的名称。在创建时由 API 服务器填充,并且不可变。
CertificateSigningRequestStatus
CertificateSigningRequestStatus 包含用于指示请求的批准/拒绝/失败状态以及颁发的证书的条件。
certificate ([]byte)
原子:在合并期间将被替换
certificate 在 Approved 条件存在后由签名者填充颁发的证书。此字段通过 /status 子资源设置。填充后,此字段不可变。
如果证书签名请求被拒绝,则会添加类型为“Denied”的条件,并且此字段将保持为空。如果签名者无法颁发证书,则会添加类型为“Failed”的条件,并且此字段将保持为空。
验证要求
- certificate 必须包含一个或多个 PEM 块。
- 所有 PEM 块必须具有“CERTIFICATE”标签,不包含任何标题,并且编码数据必须是 RFC5280 第 4 节中描述的 BER 编码 ASN.1 证书结构。
- 非 PEM 内容可能出现在“CERTIFICATE”PEM 块之前或之后,并且未经验证,以允许 RFC7468 第 5.2 节中描述的解释性文本。
如果存在多个 PEM 块,并且请求的 spec.signerName 的定义没有另外说明,则第一个块是颁发的证书,后续块应被视为中间证书,并在 TLS 握手时呈现。
证书以 PEM 格式编码。
当序列化为 JSON 或 YAML 时,数据还会进行 base64 编码,因此它包含
base64( -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- )conditions ([]CertificateSigningRequestCondition)
映射:在合并期间,键类型上的唯一值将被保留
应用于请求的条件。已知的条件是“Approved”、“Denied”和“Failed”。
CertificateSigningRequestCondition 描述 CertificateSigningRequest 对象的条件
conditions.status (string), 必需
条件的状态,True、False、Unknown 之一。Approved、Denied 和 Failed 条件可能不是“False”或“Unknown”。
conditions.type (string), 必需
条件的类型。已知的条件是“Approved”、“Denied”和“Failed”。
通过 /approval 子资源添加“Approved”条件,表明请求已获批准,应由签名者颁发。
通过 /approval 子资源添加“Denied”条件,表明请求已被拒绝,不应由签名者颁发。
通过 /status 子资源添加“Failed”条件,表明签名者未能颁发证书。
Approved 和 Denied 条件是互斥的。Approved、Denied 和 Failed 条件一旦添加就不能删除。
只允许一个给定类型的条件。
conditions.lastTransitionTime (Time)
lastTransitionTime 是条件上次从一种状态转换到另一种状态的时间。如果未设置,当添加新的条件类型或更改现有条件的状态时,服务器会将其默认设置为当前时间。
Time 是 time.Time 的包装器,它支持正确地序列化为 YAML 和 JSON。包装器为 time 包提供的许多工厂方法提供。
conditions.lastUpdateTime (Time)
lastUpdateTime 是此条件上次更新的时间
Time 是 time.Time 的包装器,它支持正确地序列化为 YAML 和 JSON。包装器为 time 包提供的许多工厂方法提供。
conditions.message (string)
message 包含关于请求状态的人类可读消息
conditions.reason (string)
reason 指示请求状态的简要原因
CertificateSigningRequestList
CertificateSigningRequestList 是 CertificateSigningRequest 对象的集合
apiVersion: certificates.k8s.io/v1
kind: CertificateSigningRequestList
metadata (ListMeta)
items ([]CertificateSigningRequest), 必需
items 是 CertificateSigningRequest 对象的集合
操作
get 读取指定的 CertificateSigningRequest
HTTP 请求
GET /apis/certificates.k8s.io/v1/certificatesigningrequests/{name}
参数
name (在路径中): string, 必需
CertificateSigningRequest 的名称
pretty (在查询中): string
响应
200 (CertificateSigningRequest): OK
401: 未经授权
get 读取指定的 CertificateSigningRequest 的批准
HTTP 请求
GET /apis/certificates.k8s.io/v1/certificatesigningrequests/{name}/approval
参数
name (在路径中): string, 必需
CertificateSigningRequest 的名称
pretty (在查询中): string
响应
200 (CertificateSigningRequest): OK
401: 未经授权
get 读取指定的 CertificateSigningRequest 的状态
HTTP 请求
GET /apis/certificates.k8s.io/v1/certificatesigningrequests/{name}/status
参数
name (在路径中): string, 必需
CertificateSigningRequest 的名称
pretty (在查询中): string
响应
200 (CertificateSigningRequest): OK
401: 未经授权
list 列出或观察 CertificateSigningRequest 类型的对象
HTTP 请求
GET /apis/certificates.k8s.io/v1/certificatesigningrequests
参数
allowWatchBookmarks (在查询中): boolean
continue (在查询中): string
fieldSelector (在查询中): string
labelSelector (在查询中): string
limit (在查询中): integer
pretty (在查询中): string
resourceVersion (在查询中): string
resourceVersionMatch (在查询中): string
sendInitialEvents (在查询中): boolean
timeoutSeconds (在查询中): integer
watch (在查询中): boolean
响应
200 (CertificateSigningRequestList): OK
401: 未经授权
create 创建 CertificateSigningRequest
HTTP 请求
POST /apis/certificates.k8s.io/v1/certificatesigningrequests
参数
body: CertificateSigningRequest, 必需
dryRun (查询中): 字符串
fieldManager (查询中): 字符串
fieldValidation (查询中): 字符串
pretty (在查询中): string
响应
200 (CertificateSigningRequest): OK
201 (证书签名请求): 已创建
202 (证书签名请求): 已接受
401: 未经授权
update 替换指定的证书签名请求
HTTP 请求
PUT /apis/certificates.k8s.io/v1/certificatesigningrequests/{name}
参数
name (在路径中): string, 必需
CertificateSigningRequest 的名称
body: CertificateSigningRequest, 必需
dryRun (查询中): 字符串
fieldManager (查询中): 字符串
fieldValidation (查询中): 字符串
pretty (在查询中): string
响应
200 (CertificateSigningRequest): OK
201 (证书签名请求): 已创建
401: 未经授权
update 替换指定证书签名请求的批准
HTTP 请求
PUT /apis/certificates.k8s.io/v1/certificatesigningrequests/{name}/approval
参数
name (在路径中): string, 必需
CertificateSigningRequest 的名称
body: CertificateSigningRequest, 必需
dryRun (查询中): 字符串
fieldManager (查询中): 字符串
fieldValidation (查询中): 字符串
pretty (在查询中): string
响应
200 (CertificateSigningRequest): OK
201 (证书签名请求): 已创建
401: 未经授权
update 替换指定证书签名请求的状态
HTTP 请求
PUT /apis/certificates.k8s.io/v1/certificatesigningrequests/{name}/status
参数
name (在路径中): string, 必需
CertificateSigningRequest 的名称
body: CertificateSigningRequest, 必需
dryRun (查询中): 字符串
fieldManager (查询中): 字符串
fieldValidation (查询中): 字符串
pretty (在查询中): string
响应
200 (CertificateSigningRequest): OK
201 (证书签名请求): 已创建
401: 未经授权
patch 部分更新指定的证书签名请求
HTTP 请求
PATCH /apis/certificates.k8s.io/v1/certificatesigningrequests/{name}
参数
name (在路径中): string, 必需
CertificateSigningRequest 的名称
body: 补丁, 必需
dryRun (查询中): 字符串
fieldManager (查询中): 字符串
fieldValidation (查询中): 字符串
force (查询中): 布尔值
pretty (在查询中): string
响应
200 (CertificateSigningRequest): OK
201 (证书签名请求): 已创建
401: 未经授权
patch 部分更新指定证书签名请求的批准
HTTP 请求
PATCH /apis/certificates.k8s.io/v1/certificatesigningrequests/{name}/approval
参数
name (在路径中): string, 必需
CertificateSigningRequest 的名称
body: 补丁, 必需
dryRun (查询中): 字符串
fieldManager (查询中): 字符串
fieldValidation (查询中): 字符串
force (查询中): 布尔值
pretty (在查询中): string
响应
200 (CertificateSigningRequest): OK
201 (证书签名请求): 已创建
401: 未经授权
patch 部分更新指定证书签名请求的状态
HTTP 请求
PATCH /apis/certificates.k8s.io/v1/certificatesigningrequests/{name}/status
参数
name (在路径中): string, 必需
CertificateSigningRequest 的名称
body: 补丁, 必需
dryRun (查询中): 字符串
fieldManager (查询中): 字符串
fieldValidation (查询中): 字符串
force (查询中): 布尔值
pretty (在查询中): string
响应
200 (CertificateSigningRequest): OK
201 (证书签名请求): 已创建
401: 未经授权
delete 删除证书签名请求
HTTP 请求
DELETE /apis/certificates.k8s.io/v1/certificatesigningrequests/{name}
参数
name (在路径中): string, 必需
CertificateSigningRequest 的名称
body: 删除选项
dryRun (查询中): 字符串
gracePeriodSeconds (查询中): 整数
pretty (在查询中): string
propagationPolicy (查询中): 字符串
响应
200 (状态): 正常
202 (状态): 已接受
401: 未经授权
deletecollection 删除证书签名请求集合
HTTP 请求
DELETE /apis/certificates.k8s.io/v1/certificatesigningrequests
参数
body: 删除选项
continue (在查询中): string
dryRun (查询中): 字符串
fieldSelector (在查询中): string
gracePeriodSeconds (查询中): 整数
labelSelector (在查询中): string
limit (在查询中): integer
pretty (在查询中): string
propagationPolicy (查询中): 字符串
resourceVersion (在查询中): string
resourceVersionMatch (在查询中): string
sendInitialEvents (在查询中): boolean
timeoutSeconds (在查询中): integer
响应
200 (状态): 正常
401: 未经授权
此页面是自动生成的。
如果您打算报告此页面的问题,请在您的问题描述中提及该页面是自动生成的。修复可能需要在 Kubernetes 项目的其他地方进行。