Machine: स्थानीय VM docker मशीन पर CA प्रमाणपत्र स्थापित करने का अनुशंसित तरीका

मैं यह भी जानना चाहूंगा। मैंने एक नया सीए और प्रमाणपत्र बनाने के लिए प्रक्रिया (https://docs.docker.com/articles/https/) का पालन किया है। मैंने /var/lib/boot2docker और /var/lib/boot2docker/tls फ़ाइलें डालने का प्रयास किया है, लेकिन /etc/init.d/docker प्रारंभ स्क्रिप्ट में मेरे द्वारा जेनरेट किए गए प्रमाणपत्र को अधिलेखित करने में समस्या आ रही है।

मैंने इस पर थोड़ा और गौर किया है और ऐसा लगता है कि डॉकटर-मशीन होस्ट में कुछ भी अधिलेखित कर देगा। डॉकटर/मशीन/मशीन/डिफॉल्ट प्रमाण पत्र के साथ इसे उत्पन्न करता है। यह /var/lib/boot2docker में boot2docker vm में फ़ाइलों को भी बदल देता है। वीएम में फाइलों को लॉग इन करना और बदलना संभव है और /var/lib/boot2docker/profile को अपडेट करें लेकिन इसे स्टार्टअप पर भी बदल दिया जाता है (निश्चित नहीं कि क्या, लेकिन संभवतः 'डॉकर-मशीन एनवी डिफॉल्ट' द्वारा)।

@oobles आपको मौजूदा प्रमाणपत्र निर्दिष्ट करने के लिए --tls-ca-cert , --tls-cert और --tls-key विकल्पों का उपयोग करने में सक्षम होना चाहिए।

docker-machine --tls-ca-cert=my_company_ca.pem create --driver virtualbox vm का उपयोग करते समय, कमांड इसमें विफल रहता है:

Error creating machine: error generating server cert: crypto/tls: private key does not match public key

यहां बिंदु (और मुझे लगता है कि ज्यादातर कंपनियों में) मैं --tls-ca-key विकल्प नहीं दे सकता क्योंकि मैं कंपनी सीए का प्रबंधन नहीं करता, इसलिए मुझे निजी कुंजी नहीं पता है।

मुझे यहां क्या समझ नहीं आ रहा है ? क्या वे विकल्प केवल उन लोगों के लिए उपयोगी हैं जो अपने स्वयं के सीए का प्रबंधन कर रहे हैं, अपने स्वयं के प्रमाणपत्रों पर हस्ताक्षर कर रहे हैं?

मैं बस अपने डॉक क्लाइंट (मेरे वीएम पर) को हमारी कंपनी रजिस्ट्री पर docker login पर चाहता हूं जो कंपनी सीए द्वारा हस्ताक्षरित एक प्रमाण पत्र दिखाता है।

कोई मदद ?

वही समस्या यहाँ कोई सुधार?

+1। हमारे संगठन में भी यही समस्या है।

जिस तरह से मैं स्थिति के आसपास काम करता हूं वह था:
रजिस्ट्री सर्वर पर:

1. डॉकर दस्तावेज़ीकरण में राज्य के रूप में स्व-हस्ताक्षरित प्रमाणपत्र बनाएं।
2. कुंजी और प्रमाणपत्र फ़ाइल को जोड़कर एक .pem फ़ाइल बनाएँ

डॉकर मशीन पर:

1. scp के माध्यम से pem फ़ाइल को अपने [email protected] :/home/
2. ssh [email protected] (पासवर्ड: tcuser) के माध्यम से pem फ़ाइल को यहाँ ले जाएँ: /var/lib/boot2docker/certs/
3. डॉकर मशीन को पुनरारंभ करें

मेरे कंटेनर https कनेक्शन से डाउनलोड करते समय हिट unable to find valid certification बनाता है। मेरी कंपनी एक मध्यवर्ती ZScaler CA रूट प्रमाणपत्र का उपयोग करती है और प्रॉक्सी को स्वचालित रूप से कॉन्फ़िगर करने के लिए एक PAC फ़ाइल का भी उपयोग करती है।

इस पर +1। यदि मौजूदा सीए (प्रमाणपत्र और कुंजी) और क्लाइंट प्रमाणपत्र (प्रमाणपत्र और कुंजी) का पुन: उपयोग करना संभव था, तो डॉकर-मशीन के साथ डॉकर इंजन में प्रमाण पत्र तैनात करते समय मौजूदा टीएलएस आधारभूत संरचना का पुन: उपयोग करना संभव होना चाहिए, उदाहरण के लिए

• --tls-सर्वर-प्रमाणपत्र
• --tls-सर्वर-कुंजी

docker-machine create -d ... \
  --tls-ca-cert cacert.pem \
  --tls-ca-key cacert.key \
  --tls-client-cert local_user.pem \
  --tls-client-key local_user.key \
  --tls-server-cert server.pem \
  --tls-server-key server.key

Error creating machine: Error running provisioning: error generating server cert: crypto/tls: failed to parse private key मेरे लिए शुरू होता है क्योंकि cacert.key पासवर्ड से सुरक्षित है।

+1

, क्योंकि यह हमारे लिए एक प्रमुख अवरोधक है। हमारा उद्यम आईटी संगठन हमारे कॉर्पोरेट फ़ायरवॉल के अंदर से सार्वजनिक इंटरनेट पर जाने वाले सभी अनुरोधों पर एक कस्टम HTTPS प्रमाणपत्र रखता है, इसलिए हम इन प्रमाणपत्रों को सही ढंग से कॉन्फ़िगर करने में सक्षम हुए बिना कंटेनरों के लिए डॉकटर हब से भी संपर्क नहीं कर सकते हैं।

क्या किसी को अभी तक इसका समाधान मिला है? हमारा उद्यम आईटी सभी HTTPS प्रमाणपत्रों को बदलने के लिए एक मिटएम करता है।

जब मैंने कोशिश की...
docker-machine --tls-ca-cert root.cer create --driver virtualbox default यह निम्न त्रुटि फेंकता है

Error creating machine: Error running provisioning: error generating server cert: crypto/tls: private key does not match public key

मैंने मशीन निर्माण के समय tls प्रमाणपत्र को छोड़ दिया। एक बार निर्माण
यंत्र:

डॉकर-मशीन scp प्रमाणपत्र फ़ाइल डिफ़ॉल्ट: ca.crt
डॉकर-मशीन ssh डिफ़ॉल्ट
सुडो एमवी ~/ca.crt /etc/docker/certs.d/docker.io/ca.crt

फिर यह काम करना चाहिए। आपको mv . से पहले उपनिर्देशिकाओं को mkdir करना पड़ सकता है
आदेश। यदि आवश्यक हो तो आंतरिक रजिस्ट्री होस्ट के लिए docker.io को प्रतिस्थापित करें।

गुरुवार, 11 अगस्त 2016 को, एंडी रुएस्टो नोटिफिकेशन @github.com ने लिखा:

क्या किसी को अभी तक इसका समाधान मिला है? हमारा उद्यम आईटी एक मिटएम करता है
सभी HTTPS प्रमाणपत्रों को बदलें।

जब मैंने कोशिश की...
docker-machine --tls-ca-cert root.cer create --driver virtualbox default
यह निम्न त्रुटि फेंकता है:

मशीन बनाने में त्रुटि: प्रावधान चलाने में त्रुटि: त्रुटि उत्पन्न करना
सर्वर प्रमाणपत्र: क्रिप्टो/टीएलएस: निजी कुंजी सार्वजनिक कुंजी से मेल नहीं खाती

-
आप इसे प्राप्त कर रहे हैं क्योंकि आपने टिप्पणी की थी।
इस ईमेल का सीधे उत्तर दें, इसे GitHub पर देखें
https://github.com/docker/machine/issues/1799#issuecomment -239175647,
या थ्रेड को म्यूट करें
https://github.com/notifications/unsubscribe-auth/AAJD9p1tfX97V_OW4DgJkzxP86URi-C5ks5qezAsgaJpZM4F3GTM
.

+ 1 GE Zscaler का उपयोग कर रहा है और MitM सर्ट मैंगलिंग कर रहा है और docker अभी हमारे सभी डेवलपर मशीनों से अनुपयोगी है।

+1, इसे अभी भी हल करने का प्रयास कर रहा हूं।

+1, इसे कॉर्पोरेट वातावरण में भी हल करने का प्रयास कर रहा है

+1 कॉर्पोरेट वातावरण भी, प्रॉक्सी मिटएम प्रमाणित मैंगलिंग करता है। प्रमाणपत्र स्थापित करने का एक तरीका चाहिए।

इसमें बहुत खुदाई हुई और समाधान शर्मनाक रूप से सरल है (लेकिन स्पष्ट नहीं है)। और कुछ बातें ध्यान देने योग्य हैं। उत्तर यहां था - लेकिन आपको वैकल्पिक दृष्टिकोण के लिए कोड अनुभाग से पहले पढ़ना होगा।

मूल रूप से, अपनी सीए ट्रस्ट श्रृंखला के पेम (बेस 64 एन्कोडेड) संस्करणों को /var/lib/boot2docker/certs/ कॉपी करें। आप सीए बंडलों का उपयोग नहीं कर सकते। boot2docker बूट स्क्रिप्ट स्वचालित रूप से वहां पेम फाइलों को उठाएगी और उन्हें ssl कॉन्फ़िगरेशन में जोड़ देगी। साथ ही, यह एक विशेष निर्देशिका है और इसे पुनरारंभ के दौरान संरक्षित किया जाएगा।

$ docker-machine ssh default 'sudo mkdir /var/lib/boot2docker/certs'
$ docker-machine scp corp-ca.pem default:
$ docker-machine ssh default 'sudo mv corp-ca.pem /var/lib/boot2docker/certs/'
$ docker-machine restart default 

यह आसान होना चाहिए इसलिए मैं समर्थन करता हूं (#1799)। इसके अलावा, हमें pem फ़ाइलों से भरी एक निर्देशिका निर्दिष्ट करने में सक्षम होना चाहिए ताकि कई प्रमाणपत्र (जैसे संपूर्ण ट्रस्ट श्रृंखला में) जोड़ना आसान हो।

@rpomeroy बहुत बहुत धन्यवाद, मैं वही कर रहा था, लेकिन यह नहीं पता था कि VM पुनरारंभ की आवश्यकता थी और इसके कारण इसे काम करने के लिए प्रमाण पत्र को हर जगह कॉपी कर रहा था

विंडोज़ के लिए डॉकर के लिए कोई फिक्स

@rpomeroy धन्यवाद, क्या हमारी रजिस्ट्री को सुलभ बनाने के लिए कंपनी रूट सीए को हमारे डॉकटर मशीन में आयात करना पर्याप्त है? या हमें /etc/docker/certs.d/hostname/ में भी सामान डालने की जरूरत है

जैसा कि पहले धागे में उल्लेख किया गया है, boot2docker के नीचे लिनक्स डिस्ट्रो मूल रूप से अपरिवर्तनीय है इसलिए सामान को /etc/docker/certs में रखना जीवित नहीं रहेगा। केवल var/lib/boot2docker/certs परिवर्तनशील और स्थायी है। ध्यान दें कि इस सारी जानकारी को boot2docker के नए संस्करणों के साथ फिर से सत्यापित करने की आवश्यकता हो सकती है।

मैं विंडोज 7 + वर्चुअलबॉक्स (v5.2.6) + डॉकर टूलबॉक्स (बूट 2 डॉकर संस्करण 18.02.-सीई) चला रहा हूं और एक ही समस्या थी।
उदाहरण के लिए, कंटेनर चलाने का प्रयास करते समय मुझे निम्न त्रुटि मिलती है:
डोकर रन उबंटू / बिन / इको 'हैलो वर्ल्ड'
छवि ' उबंटू: नवीनतम ' स्थानीय रूप से खोजने में असमर्थ
C:\Program Files\Docker Toolboxdocker.exe: डेमॉन से त्रुटि प्रतिक्रिया: https://registry-1.docker.io/v2/ प्राप्त
देखें 'C:\Program Files\Docker Toolboxdocker.exe run --help'।

निम्नलिखित समाधान ने मेरे लिए काम किया:

1. डिफ़ॉल्ट डॉकटर VM में लॉगिन करें
2. अपना कंपनी रूट प्रमाणपत्र डाउनलोड करें
3. एक नया डीआईआर बनाएं:
   sudo mkdir /var/lib/boot2docker/certs
4. अपने कंपनी रूट प्रमाणपत्र को नए बनाए गए फ़ोल्डर में कॉपी करें:
   sudo cp रूट-Ca1.crt रूट-Ca2.crt /var/lib/boot2docker/certs
5. डिफ़ॉल्ट वीएम रीबूट करें
   अब यह छवि खींच रहा है :)

@kvvoronina मुझे आपके साथ एक ही समस्या का सामना करना पड़ रहा है। इसके बजाय मैं 8.1 जीत पर डॉकर टूलबॉक्स चला रहा हूं
मैं आपके कदमों का उपयोग करने की कोशिश कर रहा हूं। लेकिन मैं सीधे कनेक्शन का उपयोग कर रहा हूं (इसका मतलब है कि मैं चरण 2 और 4 में कोई कंपनी रूट प्रमाणपत्र प्रदान नहीं कर सकता)। इसे कैसे हल करें? धन्यवाद

नमस्ते,

धन्यवाद भूत यह काम कर रहा है और मैं अब अपनी छवि खींच सकता हूं।
लेकिन मैं इस उदाहरण की छवि नहीं बना सकता: https://docs.docker.com/get-started/part2/#build -the-app
इस त्रुटि को प्राप्त करें:
Step 4/7 : RUN pip install --trusted-host pypi.python.org -r requirements.txt ---> Running in b700eb53b7b2 Collecting Flask (from -r requirements.txt (line 1)) Retrying (Retry(total=4, connect=None, read=None, redirect=None, status=None)) after connection broken by 'SSLError(SSLError(1, u'[SSL: CERTIFICATE_VERIFY_FAI LED] certificate verify failed (_ssl.c:726)'),)': /simple/flask/
क्या आपको इसके लिए कोई समस्या है?

उबेल, मुझे एक ही समस्या है, मुझे खींचने के लिए छवियां मिलीं, लेकिन मैं डोकर का उपयोग करके छवियों का निर्माण नहीं कर सकता, चलने के माध्यम से शुरू हो गया। क्या आप इस मुद्दे को दूर करने में सक्षम थे?

@cmenjivar : नहीं, मुझे अभी भी वही समस्या है ...

@Ubel : मुझे एक समाधान मिला, आपके डॉकरफाइल में, केवल एक के बजाय सभी 3 होस्ट किए गए पायथन होस्ट जोड़ें ...

RUN pip install --trusted-host pypi.python.org --trusted-host files.pythonhosted.org --trusted-host pypi.org -r requirements.txt

@cmenjivar : आपकी मदद के लिए धन्यवाद। यह मेरे लिए भी काम कर रहा है।

अब मुझे nuget पैकेज url के साथ वही चीज़ें आज़माने की ज़रूरत है

क्या कोई इसे विंडोज़ होस्ट और विंडोज़ कंटेनर के लिए अपडेट कर सकता है?

इसकी कीमत क्या है, इसका सही जवाब

यदि आप विंडोज़ पर हैं, तो यह सुनिश्चित करने के लिए कि आपके पास उपयुक्त वातावरण है, "डॉकर क्विकस्टार्ट टर्मिनल" में निम्नलिखित कमांड जारी करें। "$" संकेत है, उस हिस्से को पेस्ट न करें। आप नीचे दिए गए आदेशों को चलाने से पहले अपने डाउनलोड फ़ोल्डर में जाने के लिए cd ~/Downloads जारी करना चाह सकते हैं। आप प्रत्येक प्रमाणपत्र प्राधिकरण (मध्यवर्ती या अन्यथा) के लिए दो मध्य चरणों (corp-ca.pem) को दोहरा सकते हैं, बस उन्हें एक अलग नाम दें। आप वाइल्डकार्ड का उपयोग भी कर सकते हैं, उदाहरण के लिए: corp-*.pem यदि आपके पास corp-ca-root.pem, corp-ca-intermediate.pem और corp-isuing-ca.pem था।

ऊपर @rpomeroy से कॉपी किया गया:

$ docker-machine ssh default 'sudo mkdir /var/lib/boot2docker/certs'
$ docker-machine scp corp-ca.pem default:
$ docker-machine ssh default 'sudo mv corp-ca.pem /var/lib/boot2docker/certs/'
$ docker-machine restart default 

जो लोग --tls-cert, --tls-key और --tls-ca-cert का उपयोग करने का प्रयास कर रहे हैं, वे गलत विकल्पों का उपयोग कर रहे हैं। वे डोकर क्लाइंट और सर्वर के बीच प्रमाणीकरण के लिए हैं।

एकमात्र बिंदु जो मैं बनाना चाहूंगा वह यह है कि /etc में फाइल सिस्टम वास्तव में "अपरिवर्तनीय" नहीं हैं, वे वास्तव में "क्षणिक" (tmpfs) हैं, जिसका अर्थ है कि वे प्रत्येक रिबूट के लिए चले जाएंगे। /var/lib/boot2docker/certs में दी गई जानकारी को /etc/docker/certs में सही जगह पर फिर से पॉप्युलेट किया जाएगा...

किसी भी तरह, यह अच्छा होगा यदि डॉकर-मशीन स्वचालित रूप से मेजबान सिस्टम पर भरोसा करने वाले किसी भी कर्ट पर भरोसा करेगी।

उन लोगों के लिए जिन्होंने शायद यह सोचकर इस समाधान को छोड़ दिया कि यह केवल boot2docker सेटअप के लिए काम करेगा, न कि विंडोज़ के लिए डॉकर (हाइपर-वी) सेटअप के लिए, यह ( @rpomeroy का समाधान) भी पूरी तरह से काम करता प्रतीत होता है। मैंने इस धागे को आधा दर्जन बार पढ़ा होगा और इसे खारिज कर दिया होगा क्योंकि यह विंडोज़ वातावरण के लिए डॉकर के लिए विशिष्ट नहीं था।

@rpomeroy का समाधान विंडोज के लिए boot2docker और Docker दोनों के लिए काम करता है।

मैंने अपने डॉकर कंटेनर की /etc/pki/ca-trust/source/anchors निर्देशिका के अंदर अपनी कंपनी .cer प्रमाणपत्र अपलोड किया और नीचे दिए गए आदेशों को दर्ज किया।

अद्यतन-सीए-ट्रस्ट सक्षम करें
अद्यतन-सीए-ट्रस्ट

उपरोक्त चरणों को करने के बाद मुझे कर्ल से आवश्यक आउटपुट मिल सकता है

बस बज रहा है..

ऐसा लगता है कि आपके कंटेनर पर इन दोनों माउंट को जोड़ने से अधिकांश कॉन्फ़िगरेशन के साथ काम होता है:

    volumes:
      - /etc/ssl/certs:/etc/ssl/certs
      - /usr/share/ca-certificates:/usr/share/ca-certificates

विंडोज़ एक और कहानी है..यदि संभव हो तो मैं विंडोज़ डॉकर होस्ट का उपयोग करने से बचूंगा।