@nihi1ist

Как создать самоподписанные сертификаты для etcd?

Хочу поднять кластер ETCD с TLS шифрованием с самоподписанными сертификатами. Делаю по этой инструкции. Единственное отличие: нет внешних IP-адресов. Проблема в том, что ETCD ругается на сертификат:
Часть логов с мастера:
Sep 06 14:47:45 node01 bash[79742]: {"level":"warn","ts":"2024-09-06T14:47:45.640975+0500","caller":"etcdserver/cluster_util.go:158","msg":"failed to get version",    "remote-member-id":"7344371060bbebd0","error":"Get \"https://192.168.50.152:2380/version\": tls: failed to verify certificate: x509: certificate specifies an incompatible key  usage"}

Часть логов со второй ноды:
Sep 06 14:44:46 node02 bash[21065]: {"level":"warn","ts":"2024-09-06T14:44:46.006582+0500","caller":"embed/config_logging.go:170","msg":"rejected connection on peer   endpoint","remote-addr":"192.168.50.151:53494","server-name":"","error":"remote error: tls: bad certificate"}

Проверку сертификаты проходят:
# openssl verify -CAfile ca.pem server.pem
server.pem: OK
# openssl verify -CAfile ca.pem node1.pem
node1.pem: OK

Кроме вышеуказанной инструкции, пробовал эту инструкцию. Подскажите где ошибка может быть? Или другую инструкцию по которой кто-то уже поднимал рабочий кластер.
  • Вопрос задан
  • 82 просмотра
Пригласить эксперта
Ответы на вопрос 1
CityCat4
@CityCat4
//COPY01 EXEC PGM=IEBGENER
Поищи книжку под названием "Построение защищенных корпоративных сетей". Там довольно много про создание своего CA, выпуск сертфиикатов и все такое.
Похоже у тебя EKU в сертификате не подходящее.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы