Machine: 로컬 VM 도커 머신에 CA 인증서를 설치하는 권장 방법

이것도 알고 싶습니다. 절차(https://docs.docker.com/articles/https/)에 따라 새 CA와 인증서를 만들었습니다. /var/lib/boot2docker 및 /var/lib/boot2docker/tls 파일을 넣으려고 했지만 /etc/init.d/docker 시작 스크립트가 내가 생성한 인증서를 덮어쓰는 데 문제가 있습니다.

나는 이것을 조금 더 조사했고 docker-machine이 생성하는 인증서로 호스트 .docker/machines/machine/default의 모든 항목을 덮어쓰는 것처럼 보입니다. 또한 /var/lib/boot2docker에 있는 boot2docker VM의 파일을 교체합니다. vm에 로그인하고 파일을 교체하고 /var/lib/boot2docker/profile을 업데이트할 수 있지만 이것은 시작 시에도 교체됩니다(무엇인지 확실하지 않지만 아마도 'docker-machine env default'로).

@oobles --tls-ca-cert , --tls-cert 및 --tls-key 옵션을 사용하여 기존 인증서를 지정할 수 있어야 합니다.

docker-machine --tls-ca-cert=my_company_ca.pem create --driver virtualbox vm 를 사용할 때 명령은 다음과 같이 실패합니다.

Error creating machine: error generating server cert: crypto/tls: private key does not match public key

여기서 요점은 (대부분의 회사에서 추측) 저는 회사 CA를 관리하지 않기 때문에 개인 키를 알지 못하기 때문에 --tls-ca-key 옵션을 줄 수 없습니다.

내가 여기서 무엇을 놓치고 있습니까? 이러한 옵션은 자신의 CA를 관리하고 자체 인증서에 서명하는 사람들에게만 유용합니까?

내 VM에 있는 도커 클라이언트가 회사 CA에서 서명한 인증서를 보여주는 회사 레지스트리에 docker login 이기를 원합니다.

도움이 되셨나요?

같은 문제가 여기에 개선 사항이 있습니까?

+1. 우리 조직에도 같은 문제가 있습니다.

내가 상황을 해결하는 방법은 다음과 같습니다.
레지스트리 서버에서:

1. docker 문서에서 상태로 자체 서명된 인증서를 만듭니다.
2. 키와 인증서 파일을 연결하는 .pem 파일 생성

도커 머신에서:

1. scp를 통해 pem 파일을 [email protected] :/home/docker에 복사합니다.
2. ssh [email protected] (비밀번호: tcuser)를 통해 pem 파일을 /var/lib/boot2docker/certs/로 이동합니다.
3. 도커 머신 다시 시작

https 연결에서 다운로드할 때 내 컨테이너 빌드가 unable to find valid certification 도달했습니다. 우리 회사는 중간 ZScaler CA 루트 인증서를 사용하고 또한 PAC 파일을 사용하여 프록시를 자동으로 구성합니다.

이것에 +1. 기존 CA(인증서 및 키) 및 클라이언트 인증서(인증서 및 키)를 재사용할 수 있다면 docker-machine을 사용하여 인증서를 docker 엔진에 배포할 때 기존 TLS 인프라를 실제로 재사용할 수 있어야 합니다.

• --tls-서버 인증서
• --tls-서버 키

docker-machine create -d ... \
  --tls-ca-cert cacert.pem \
  --tls-ca-key cacert.key \
  --tls-client-cert local_user.pem \
  --tls-client-key local_user.key \
  --tls-server-cert server.pem \
  --tls-server-key server.key

Error creating machine: Error running provisioning: error generating server cert: crypto/tls: failed to parse private key cacert.key 가 암호로 보호되어 있기 때문에

+1

👍 , 이것은 우리에게 주요 차단기이기 때문입니다. 우리 기업 IT 조직은 기업 방화벽 내부에서 공용 인터넷으로 이동하는 모든 요청에 ​​사용자 지정 HTTPS 인증서를 적용하므로 이러한 인증서를 올바르게 구성할 수 없으면 컨테이너용 도커 허브에도 연결할 수 없습니다.

아무도 이것에 대한 해결책을 아직 찾았습니까? 우리 기업 IT는 모든 HTTPS 인증서를 대체하기 위해 MitM을 수행합니다.

내가 시도했을 때 ...
docker-machine --tls-ca-cert root.cer create --driver virtualbox default 다음 오류가 발생합니다.

Error creating machine: Error running provisioning: error generating server cert: crypto/tls: private key does not match public key

나는 기계 생성 시 tls 인증서를 건너뛰었습니다. 일단 생성
기계:

docker-machine scp 인증서 파일 기본값:ca.crt
도커 머신 ssh 기본값
sudo mv ~/ca.crt /etc/docker/certs.d/docker.io/ca.crt

그러면 작동해야 합니다. mv 앞에 하위 디렉토리를 mkdir해야 할 수도 있습니다.
명령. 필요한 경우 내부 레지스트리 호스트를 docker.io로 대체하십시오.

2016년 8월 11일 목요일에 Andy Ruestow [email protected] 은 다음과 같이 썼습니다.

아무도 이것에 대한 해결책을 아직 찾았습니까? 우리 기업 IT는 MitM을 수행하여
모든 HTTPS 인증서를 교체하십시오.

내가 시도했을 때 ...
docker-machine --tls-ca-cert root.cer 생성 --driver virtualbox 기본값
다음 오류가 발생합니다.

머신 생성 중 오류 발생: 프로비저닝 실행 중 오류 발생: 생성 중 오류 발생
서버 인증서: crypto/tls: 개인 키가 공개 키와 일치하지 않습니다.

—
당신이 댓글을 달았기 때문에 이것을 받는 것입니다.
이 이메일에 직접 답장하고 GitHub에서 확인하세요.
https://github.com/docker/machine/issues/1799#issuecomment -239175647,
또는 스레드 음소거
https://github.com/notifications/unsubscribe-auth/AAJD9p1tfX97V_OW4DgJkzxP86URi-C5ks5qezAsgaJpZM4F3GTM
.

+ 1 GE는 Zscaler를 사용하고 MitM 인증서 맹글링을 수행하고 있으며 현재 모든 개발자 컴퓨터에서 docker를 사용할 수 없습니다.

+1, 이것도 지금 해결하려고 합니다.

+1, 기업 환경에서도 이 문제를 해결하려고 합니다.

+1 기업 환경도 프록시가 MitM 인증서 맹글링을 수행합니다. 인증서를 설치하는 방법이 필요합니다.

이것은 많은 파고가 들었고 해결책은 당황스러울 정도로 간단합니다(그러나 분명하지는 않습니다). 그리고 몇 가지 주의할 점이 있습니다. 답은 여기에 있었습니다

기본적으로 CA 신뢰 체인의 pem(Base64 인코딩) 버전을 /var/lib/boot2docker/certs/ 복사합니다. ca 번들을 사용할 수 없습니다. boot2docker 부팅 스크립트는 자동으로 거기에서 pem 파일을 선택하여 ssl 구성에 추가합니다. 또한 이것은 특수 디렉토리이며 다시 시작해도 보존됩니다.

$ docker-machine ssh default 'sudo mkdir /var/lib/boot2docker/certs'
$ docker-machine scp corp-ca.pem default:
$ docker-machine ssh default 'sudo mv corp-ca.pem /var/lib/boot2docker/certs/'
$ docker-machine restart default 

이것은 더 간단해야하므로 지원합니다(#1799). 또한 전체 신뢰 체인에서와 같이 여러 인증서를 쉽게 추가할 수 있도록 pem 파일로 가득 찬 디렉토리를 지정할 수 있어야 합니다.

@rpomeroy 정말 감사합니다. 저도 똑같이 하고 있었지만 VM 재시작이 필요하다는 것을 몰랐고 그로 인해 인증서를 모든 곳에서 복사하여 작동하게 만들었습니다.

Windows용 Docker에 대한 모든 수정 사항

@rpomeroy 감사합니다. 도커 시스템에서 회사 루트 ca를 가져오면 레지스트리에 액세스할 수 있습니까? 아니면 /etc/docker/certs.d/hostname/ 에 물건을 넣어야 합니까?

스레드의 앞부분에서 언급했듯이 boot2docker 아래의 Linux 배포판은 기본적으로 변경할 수 없으므로 /etc/docker/certs에 항목을 넣는 것은 살아남을 수 없습니다. var/lib/boot2docker/certs만 변경 가능하고 영구적입니다. 이 모든 정보는 최신 버전의 boot2docker로 다시 확인해야 할 수 있습니다.

Windows 7 + VirtualBox(v5.2.6) +Docker Toolbox(Boot2Docker 버전 18.02.-ce)를 실행 중이며 동일한 문제가 발생했습니다.
예를 들어 컨테이너를 실행하려고 할 때 다음 오류가 발생합니다.
도커 실행 우분투 /bin/echo 'Hello World'
로컬에서 ' ubuntu:latest ' 이미지를 찾을 수 없습니다
C:\Program Files\Docker Toolboxdocker.exe: 데몬의 오류 응답: Get https://registry-1.docker.io/v2/ : x509: 알 수 없는 기관에서 서명한 인증서.
'C:\Program Files\Docker Toolboxdocker.exe run --help'를 참조하세요.

다음 솔루션이 저에게 효과적이었습니다.

1. 기본 도커 VM에 로그인
2. 회사 루트 인증서 다운로드
3. 새 디렉토리 생성:
   sudo mkdir /var/lib/boot2docker/certs
4. 회사 루트 인증서를 새로 생성된 폴더에 복사합니다.
   sudo cp Root-Ca1.crt Root-Ca2.crt /var/lib/boot2docker/certs
5. 기본 VM 재부팅
   이제 이미지를 당기고 있습니다 :)

@kvvoronina 당신과 같은 문제에 직면하고 있습니다. 대신 win 8.1에서 docker toolbox를 실행 중입니다.
나는 당신의 단계를 사용하려고합니다. 하지만 직접 연결을 사용하고 있습니다(2단계 및 4단계에서 회사 루트 인증서를 제공할 수 없음을 의미합니다). 이것을 해결하는 방법? 감사

안녕하세요,

덕분에 유령이 작동하고 이제 내 이미지를 가져올 수 있습니다.
하지만 이 예제의 이미지를 빌드할 수 없습니다. https://docs.docker.com/get-started/part2/#build -the-app
이 오류를 얻습니다.
Step 4/7 : RUN pip install --trusted-host pypi.python.org -r requirements.txt ---> Running in b700eb53b7b2 Collecting Flask (from -r requirements.txt (line 1)) Retrying (Retry(total=4, connect=None, read=None, redirect=None, status=None)) after connection broken by 'SSLError(SSLError(1, u'[SSL: CERTIFICATE_VERIFY_FAI LED] certificate verify failed (_ssl.c:726)'),)': /simple/flask/
그것에 대한 문제가 있습니까?

Ubel, 동일한 문제가 있습니다. 가져올 이미지가 있지만 도커 시작 연습을 사용하여 이미지를 빌드할 수 없습니다. 문제를 극복할 수 있었습니까?

@cmenjivar : 아니요, 여전히 같은 문제가 있습니다...

@Ubel : 습니다 . 하나가 아닌 호스팅된 3개의 Python 호스트를 모두 추가하기만 하면 됩니다.

RUN pip install --trusted-host pypi.python.org --trusted-host files.pythonhosted.org --trusted-host pypi.org -r requirements.txt

@cmenjivar : 도와주셔서 감사합니다. 그것은 나에게도 효과가 있습니다.

이제 nuget 패키지 URL을 사용하여 동일한 작업을 시도해야 합니다.

누군가 Windows 호스트 및 Windows 컨테이너에 대해 이것을 업데이트할 수 있습니까?

그 가치에 대해 @rpomeroy 는 정답을 가지고 있습니다...

Windows를 사용하는 경우 "Docker 빠른 시작 터미널"에서 다음 명령을 실행하여 적절한 환경이 있는지 확인하십시오. "$"는 프롬프트이므로 해당 부분을 붙여넣지 마십시오. 아래 명령을 실행하기 전에 다운로드 폴더로 이동하기 위해 cd ~/Downloads 를 발행할 수 있습니다. 추가해야 하는 각 인증 기관(중간 또는 기타)에 대해 두 개의 중간 단계(corp-ca.pem)를 반복하고 다른 이름을 지정할 수 있습니다. corp-ca-root.pem, corp-ca-intermediate.pem 및 corp-issuing-ca.pem이 있는 경우 와일드카드를 사용할 수도 있습니다(예: corp-*.pem .

위의 @rpomeroy 에서 복사:

$ docker-machine ssh default 'sudo mkdir /var/lib/boot2docker/certs'
$ docker-machine scp corp-ca.pem default:
$ docker-machine ssh default 'sudo mv corp-ca.pem /var/lib/boot2docker/certs/'
$ docker-machine restart default 

--tls-cert, --tls-key 및 --tls-ca-cert를 사용하려는 사람들은 잘못된 옵션을 사용하고 있습니다. 도커 클라이언트와 서버 간의 인증을 위한 것입니다.

내가 말하고 싶은 유일한 요점은 /etc의 파일 시스템이 실제로 "불변"이 아니며 실제로는 "임시"(tmpfs)라는 것입니다. 즉, 재부팅할 때마다 파일 시스템이 사라집니다. /var/lib/boot2docker/certs의 정보는 /etc/docker/certs...의 올바른 위치에 다시 채워집니다.

어쨌든 docker-machine이 호스트 시스템이 신뢰하는 모든 인증서를 자동으로 신뢰한다면 좋을 것입니다.

이 솔루션이 Windows용 Docker(Hyper-V) 설정이 아닌 boot2docker 설정에서만 작동할 것이라고 생각하는 이 솔루션을 떠난 사람들에게는 이( @rpomeroy 의 솔루션)도 완벽하게 작동하는 것으로 보입니다. 이 스레드는 Windows 환경용 Docker와 관련이 없기 때문에 이 스레드를 6번 정도 읽고 무시했을 것입니다.

@rpomeroy 의 솔루션은 boot2docker와 Windows용 Docker 모두에서 작동합니다.

내 회사 .cer 인증서를 내 도커 컨테이너의 /etc/pki/ca-trust/source/anchors 디렉토리에 업로드하고 아래 명령을 입력했습니다.

update-ca-trust 활성화
업데이트 카 트러스트

위의 단계를 수행한 후 curl에서 필요한 출력을 얻을 수 있습니다.

그냥 끼어들고..

컨테이너에 이러한 마운트를 모두 추가하는 것이 대부분의 구성에서 작동하는 것 같습니다.

    volumes:
      - /etc/ssl/certs:/etc/ssl/certs
      - /usr/share/ca-certificates:/usr/share/ca-certificates

Windows는 또 다른 이야기입니다. 가능하면 Windows Docker 호스트를 사용하지 않을 것입니다.