rke2.5更新cattle-webhook-tls证书

1.查看证书信息

image.png

2.接下来需要准备签发证书所需文件，打开cattle-webhook-ca 查看编辑YAML（找到自己对应签发的CA文件）

image.png

 将两个秘钥分别用base64进行解密（直接网上搜索）
 解密文件分别保存为  ca.crt   ca.key  （创建单独目录存放，后面签发证书需要这两个文件）
 打开cattle-webhook-tls
 将里面的tls证书进行解密，保存文件tls.crt

3.查看旧证书信息

image.png

openssl x509 -in tls.crt -noout -text

4.所以我们需要生成v3证书,准备openssl.cnf文件(和上面测CA文件放在一起)内容如下:
注意：此处DNS需与原证书一致，名称也与原证书一致

[v3_req]
subjectAltName = @alt_names

[alt_names]
DNS.1=rancher-webhook.cattle-system.svc

5.签发证书

# 生成服务端私钥
openssl genrsa -out new.key 2048

# 生成证书请求文件
openssl req -new -key new.key -out new.csr

# 生成最终证书文件，-day指定证书有效期 3650 是十年
openssl x509 -req -days 3650 -sha256 -CA ca.crt -CAkey ca.key -CAcreateserial -extfile openssl.cnf -extensions v3_req -in new.csr -out new.crt

image.png

6.得到 new.key new.crt两个文件,将两个证书导入到 cattle-webhook-tls 最后点击保存

image.png