gpt4 book ai didi

docker - 在 Docker Swarm 中安装 SSL 证书

转载 作者:太空宇宙 更新时间:2023-11-03 13:21:11 27 4
gpt4 key购买 nike

我正在使用 docker stack 在多个 digital ocean 液滴(副本 > 1)中部署一项服务,每个液滴一个容器。这是我的应用后端服务。

我想安装一个 SSL 证书和私钥(并希望自动更新),这样我就可以使用 TLS 连接,使用 SSL 终止设置,这样从 swarm LB 到容器的数据传输就不会使用端口 80 加密。我还使用 docker-machine cmd 来设置我的 digital ocean ubuntu v16.04 droplet。

这样做的最佳方法是什么?

我尝试了以下方法,出现了两个问题:

  1. 我首先生成证书和私钥,让我们在安装了 nginx 的服务器上的其他地方加密(也弄乱了我的 DNS)。生成证书/ key 后,我使用 docker swarm ca --rotate 复制并安装它们。但是感觉这种做法是错误的。

  2. 设置 1. 后,我尝试了 curl 后端服务。 80端口没问题,但是443端口好像在说http协议(protocol),我看到如下:

    $ curl -vvv https://myurl.com:443/v1/check 
    * Trying my.ip.address...
    * Connected to myurl.com (my.ip.address) port 443 (#0)
    * found 148 certificates in /etc/ssl/certs/ca-certificates.crt
    * found 593 certificates in /etc/ssl/certs
    * ALPN, offering http/1.1
    * gnutls_handshake() failed: An unexpected TLS packet was received.
    * Closing connection 0

    curl: (35) gnutls_handshake() failed: An unexpected TLS packet was received.

    $ curl -vvv http://myurl.com:443/v1/check
    * Trying my.ip.address...
    * Connected to myurl.com (my.ip.address) port 443 (#0)
    > GET /v1/check HTTP/1.1
    > Host: myurl.com:443
    > User-Agent: curl/7.47.0
    > Accept: */*
    >
    < HTTP/1.1 200 OK
    < Server: nginx/1.10.3 (Ubuntu)
    < Date: Sun, 09 Sep 2018 11:06:39 GMT
    < Content-Type: application/json; charset=utf-8
    < Transfer-Encoding: chunked
    < Connection: keep-alive
    < Vary: Accept-Encoding, Origin
    < ETag: W/"843adc298b0b2ef417eabf2f82670fc9"
    < Cache-Control: max-age=0, private, must-revalidate
    < X-Request-Id: b201d205-4c63-4318-b965-cebabc056b29
    < X-Runtime: 0.078911
    < X-Rack-Cache: pass
    <
    * Connection #0 to host myurl.com left intact
    {"status":"ok","container_id":"8bd9981213e7"}

感谢您阐明这个主题!

我也在这里问过这个问题:

https://forums.docker.com/t/installing-ssl-cert-in-docker-swarm/58073

最佳答案

您可以使用 OpenSSL 工具手动生成证书并配置 Docker 守护程序以使用这些证书。

生成服务器证书

  1. 生成 CA 私钥和公钥:

    openssl genrsa -aes256 -out ca-key.pem 4096
    openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -out ca.pem
  2. 创建服务器 key 和证书签名请求 (CSR):

    openssl genrsa -out server-key.pem 4096
    openssl req -subj "/CN=my.company.com" -sha256 -new -key server-key.pem -out server.csr
  3. 用 CA 签署公钥:

    echo subjectAltName = DNS:my.company.com,IP:127.0.0.1 >> extfile.cnf
    echo extendedKeyUsage = serverAuth >> extfile.cnf
  4. 生成 key :

    openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf

生成客户端证书

  1. 创建客户端 key 和证书签名请求:

    openssl genrsa -out key.pem 4096
    openssl req -subj '/CN=client' -new -key key.pem -out client.csr
  2. 创建扩展配置文件:

    echo extendedKeyUsage = clientAuth >> extfile.cnf
  3. 签署私钥:
    openssl x509 -req -days 1000 -sha256 -in client.csr -CA ../server/ca.pem -CAkey ../server/ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
  4. 将 cert.pem 导出为 PFX 格式以添加到受信任的根证书颁发机构
    openssl pkcs12 -export -in cert.pem -inkey key.pem -out cert.pfx

使用/etc/docker/daemon.json 配置 Docker 守护进程

{
"debug": false,
"tls": true,
"tlsverify": true,
"tlscacert": "/etc/docker/certificates/server/ca.pem",
"tlscert": "/etc/docker/certificates/server/server-cert.pem",
"tlskey": "/etc/docker/certificates/server/server-key.pem",
"hosts": ["tcp://0.0.0.0:2376", "unix:///var/run/docker.sock"]
}

启动Docker服务

systemctl start docker

查看这篇文章 Building Jenkins Pipelines – Part 1. Setting Up Docker Swarm通过 Scalified。

它包含有关如何设置 Docker Swarm 以及如何生成服务器和客户端自签名证书的分步指南。希望对解决您的问题有所帮助。

关于docker - 在 Docker Swarm 中安装 SSL 证书,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/52244214/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com