我正在使用 docker stack
在多个 digital ocean 液滴(副本 > 1)中部署一项服务,每个液滴一个容器。这是我的应用后端服务。
我想安装一个 SSL 证书和私钥(并希望自动更新),这样我就可以使用 TLS 连接,使用 SSL 终止设置,这样从 swarm LB 到容器的数据传输就不会使用端口 80 加密。我还使用 docker-machine
cmd 来设置我的 digital ocean ubuntu v16.04 droplet。
这样做的最佳方法是什么?
我尝试了以下方法,出现了两个问题:
我首先生成证书和私钥,让我们在安装了 nginx 的服务器上的其他地方加密(也弄乱了我的 DNS)。生成证书/ key 后,我使用
docker swarm ca --rotate
复制并安装它们。但是感觉这种做法是错误的。设置 1. 后,我尝试了
curl
后端服务。 80端口没问题,但是443端口好像在说http协议(protocol),我看到如下:$ curl -vvv https://myurl.com:443/v1/check * Trying my.ip.address... * Connected to myurl.com (my.ip.address) port 443 (#0) * found 148 certificates in /etc/ssl/certs/ca-certificates.crt * found 593 certificates in /etc/ssl/certs * ALPN, offering http/1.1 * gnutls_handshake() failed: An unexpected TLS packet was received. * Closing connection 0 curl: (35) gnutls_handshake() failed: An unexpected TLS packet was received. $ curl -vvv http://myurl.com:443/v1/check * Trying my.ip.address... * Connected to myurl.com (my.ip.address) port 443 (#0) > GET /v1/check HTTP/1.1 > Host: myurl.com:443 > User-Agent: curl/7.47.0 > Accept: */* > < HTTP/1.1 200 OK < Server: nginx/1.10.3 (Ubuntu) < Date: Sun, 09 Sep 2018 11:06:39 GMT < Content-Type: application/json; charset=utf-8 < Transfer-Encoding: chunked < Connection: keep-alive < Vary: Accept-Encoding, Origin < ETag: W/"843adc298b0b2ef417eabf2f82670fc9" < Cache-Control: max-age=0, private, must-revalidate < X-Request-Id: b201d205-4c63-4318-b965-cebabc056b29 < X-Runtime: 0.078911 < X-Rack-Cache: pass < * Connection #0 to host myurl.com left intact {"status":"ok","container_id":"8bd9981213e7"}
感谢您阐明这个主题!
我也在这里问过这个问题:
https://forums.docker.com/t/installing-ssl-cert-in-docker-swarm/58073
最佳答案
您可以使用 OpenSSL 工具手动生成证书并配置 Docker 守护程序以使用这些证书。
生成服务器证书
生成 CA 私钥和公钥:
openssl genrsa -aes256 -out ca-key.pem 4096 openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -out ca.pem
创建服务器 key 和证书签名请求 (CSR):
openssl genrsa -out server-key.pem 4096 openssl req -subj "/CN=my.company.com" -sha256 -new -key server-key.pem -out server.csr
用 CA 签署公钥:
echo subjectAltName = DNS:my.company.com,IP:127.0.0.1 >> extfile.cnf echo extendedKeyUsage = serverAuth >> extfile.cnf
生成 key :
openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf
生成客户端证书
创建客户端 key 和证书签名请求:
openssl genrsa -out key.pem 4096 openssl req -subj '/CN=client' -new -key key.pem -out client.csr
创建扩展配置文件:
echo extendedKeyUsage = clientAuth >> extfile.cnf
- 签署私钥:
openssl x509 -req -days 1000 -sha256 -in client.csr -CA ../server/ca.pem -CAkey ../server/ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
- 将 cert.pem 导出为 PFX 格式以添加到受信任的根证书颁发机构
openssl pkcs12 -export -in cert.pem -inkey key.pem -out cert.pfx
使用/etc/docker/daemon.json 配置 Docker 守护进程
{
"debug": false,
"tls": true,
"tlsverify": true,
"tlscacert": "/etc/docker/certificates/server/ca.pem",
"tlscert": "/etc/docker/certificates/server/server-cert.pem",
"tlskey": "/etc/docker/certificates/server/server-key.pem",
"hosts": ["tcp://0.0.0.0:2376", "unix:///var/run/docker.sock"]
}
启动Docker服务
systemctl start docker
查看这篇文章 Building Jenkins Pipelines – Part 1. Setting Up Docker Swarm通过 Scalified。
它包含有关如何设置 Docker Swarm 以及如何生成服务器和客户端自签名证书的分步指南。希望对解决您的问题有所帮助。
关于docker - 在 Docker Swarm 中安装 SSL 证书,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/52244214/