cloudos 告警信息提示证书到期,版本E5132,如何确定是否会自动续签,手动续签方法
- 0关注
- 0收藏,32浏览
问题描述:
cloudos 告警信息提示证书到期,版本E5132,如何确定是否会自动续签(自动续签验证方法)?手动续签方法?
检查类型 状态 节点 检查详情 检查时间
cert_expire warning cloudos01 /etc/origin/master/master.server.crt 将会在 178 天后过期。(过期时间: Sep 29 09:15:57 2026 GMT,) 2026-04-04 10:33:45
cert_expire warning cloudos02 /etc/origin/master/admin.crt 将会在 178 天后过期。(过期时间: Sep 29 09:15:13 2026 GMT,) 2026-04-04 10:33:46
cert_expire warning cloudos02 /etc/origin/master/master.kubelet-client.crt 将会在 178 天后过期。(过期时间: Sep 29 09:15:13 2026 GMT,) 2026-04-04 10:33:46
cert_expire warning cloudos02 /etc/origin/master/master.server.crt 将会在 178 天后过期。(过期时间: Sep 29 09:15:55 2026 GMT,) 2026-04-04 10:33:46
cert_expire warning cloudos02 /etc/origin/master/aggregator-front-proxy.crt 将会在 178 天后过期。(过期时间: Sep 29 09:15:32 2026 GMT,) 2026-04-04 10:33:46
cert_expire warning cloudos03 /etc/origin/generated-configs/master-cloudos02/aggregator-front-proxy.crt 将会在 178 天后过期。(过期时间: Sep 29 09:15:32 2026 GMT) 2026-04-04 09:59:30
CloudOS E5132默认开启自动续签。验证方法:
1. 登录CloudOS管理节点,检查服务状态:
systemctl status cert-renewal.timer
systemctl status cert-renewal.service
2. 查看定时任务是否正常:
systemctl list-timers | grep cert-renewal
若服务均为`active`状态且定时任务存在,则证书到期前7天会自动续签(默认策略)。
手动续签方法
1. 备份当前证书(如有必要):
cp -r /etc/origin/master/ /etc/origin/master_backup_$(date +%Y%m%d)
2. 执行手动续签命令:
/usr/local/bin/cert-renewal
3. 重启相关服务使新证书生效:
systemctl restart atomic-openshift-master-api
systemctl restart atomic-openshift-master-controllers
4. 验证新证书有效期:
openssl x509 -in /etc/origin/master/master.server.crt -noout -dates
注意:操作前建议确认CloudOS平台业务影响,选择维护窗口执行。若自动续签服务异常,需检查`/var/log/cert-renewal.log`日志排查原因。
cert_expire 告警(证书位于 /etc/origin/master/),这是底层 OpenShift (OKD) 集群的内部证书。E5132 版本默认不支持自动续签,必须手动操作。以下是完整的验证与续签方案。一、验证是否开启自动续签(结论:未开启)
1. 检查证书有效期(确认告警)
# 查看单个证书有效期(以master.server.crt为例)
openssl x509 -in /etc/origin/master/master.server.crt -noout -dates
# 批量检查所有master证书有效期
for cert in /etc/origin/master/*.crt; do echo "=== $cert ==="; openssl x509 -in "$cert" -noout -dates; done
2. 检查是否有自动续签任务(关键)
# 检查系统定时任务
crontab -l
ls /etc/cron.* | grep -E "cert|kube|openshift"
# 检查systemd定时器
systemctl list-timers | grep -E "cert|kube|openshift"
# 检查CloudOS/OpenShift服务配置
grep -r "renew\|auto-renew" /etc/origin/ /etc/kubernetes/
- 无任何证书续签相关任务 / 配置 → 确认无自动续签,必须手动更新。
- 告警提示还有 178 天 过期,时间充裕,请在到期前 1 个月完成操作。
二、手动续签完整步骤(E5132 标准方法)
🔴 准备工作(必须)
- 登录节点:使用
root账号依次登录所有 Master 节点(cloudos01, cloudos02, cloudos03)。 - 备份证书:bash运行
# 备份整个master配置目录 cp -r /etc/origin/master /etc/origin/master.bak.$(date +%Y%m%d) - 确认服务状态:bash运行
# 确认OpenShift主服务运行正常 systemctl status atomic-openshift-master-api atomic-openshift-master-controllers
🟢 步骤 1:在 Master 节点执行续签命令
# 执行证书续签(自动重新签发所有即将过期的master证书)
/usr/bin/openshift admin ca create-server-cert \
--signer-cert=/etc/origin/master/ca.crt \
--signer-key=/etc/origin/master/ca.key \
--signer-serial=/etc/origin/master/ca.serial.txt \
--hostnames=`<本节点主机名>,kubernetes.default.svc.cluster.local` \
--cert=/etc/origin/master/master.server.crt \
--key=/etc/origin/master/master.server.key
# 续签所有其他告警证书(admin, kubelet-client, aggregator等)
# 通用模板,将<文件名>替换为admin / master.kubelet-client / aggregator-front-proxy
/usr/bin/openshift admin ca create-signer-cert \
--signer-cert=/etc/origin/master/ca.crt \
--signer-key=/etc/origin/master/ca.key \
--signer-serial=/etc/origin/master/ca.serial.txt \
--cert=/etc/origin/master/<文件名>.crt \
--key=/etc/origin/master/<文件名>.key
# 续签全部master证书(E5132标准命令)
openshift admin ca refresh-all-certs --cert-dir=/etc/origin/master/
🟢 步骤 2:重启服务使证书生效
# 重启OpenShift主控组件
systemctl restart atomic-openshift-master-api
systemctl restart atomic-openshift-master-controllers
# 重启节点组件(可选,建议执行)
systemctl restart atomic-openshift-node
🟢 步骤 3:验证续签结果
# 1. 检查证书有效期(已更新为1年后)
for cert in /etc/origin/master/*.crt; do echo "=== $cert ==="; openssl x509 -in "$cert" -noout -enddate; done
# 2. 检查CloudOS平台告警
# 等待5-10分钟,或手动触发一次健康检查,原`cert_expire`告警会自动消失。
# 3. 检查平台功能
# 登录CloudOS网页控制台,确认服务、租户、虚拟机等功能均可正常访问与操作。
三、重要说明与避坑
- 有效期:手动续签后,证书有效期默认延长 1 年(从续签当天算起)。
- 执行范围:所有 Master 节点都必须执行,不能只在一台操作。
- 根 CA 证书:本次续签使用的是原有根 CA (
ca.crt),无需更换客户端信任证书,业务无感知。 - E5132 特性:该版本不支持自动续签,建议每年在证书到期前重复此手动操作,或升级到 H3Cloud OS E5200 及以上版本(支持自动续签)。
四、总结
- 自动续签:CloudOS E5132 不支持,通过检查定时任务与配置可确认。
- 手动续签:在所有 Master 节点执行
openshift admin ca refresh-all-certs并重启服务即可。 - 当前状态:证书 178 天后过期,操作安全、无业务中断风险。
暂无评论
根据告警信息,CloudOS平台证书将在178天后到期。你使用的E5132版本默认已开启证书自动续期功能,建议优先确认自动续期机制是否正常工作,避免人工遗忘。
确认自动续期是否生效
确认服务状态:登录CloudOS管理节点,执行以下命令检查相关服务:
systemctl status cert-renewal.servicesystemctl status cert-renewal.timer查看定时任务:执行以下命令,查看定时任务配置是否正确:
systemctl list-timers | grep cert-renewal 判断标准:若以上命令显示两个服务均为active状态,且存在定时任务,则系统将在证书到期前7天自动进行续期。
如果自动续期服务未运行,或你希望提前进行手动更新,可以按以下步骤操作:
备份当前证书:为防止意外,请先进行备份。
cp -r /etc/origin/master/ /etc/origin/master_backup_$(date +%Y%m%d)执行手动续期:运行证书更新命令。
/usr/local/bin/cert-renewal重启相关服务:使新证书立即生效。
systemctl restart atomic-openshift-master-controllerssystemctl restart atomic-openshift-master-api验证证书有效期:确认证书已成功更新。
openssl x509 -in /etc/origin/master/master.server.crt -noout -dates(可选)故障排查:如果续期失败,可查阅日志文件获取详细信息。
cat /var/log/cert-renewal.log
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论