使用证书验证存储库客户端

目录

使用 HTTPS 运行 Docker 中,您了解到,默认情况下,Docker 通过一个非联网的 Unix 套接字运行,必须启用 TLS 才能让 Docker 客户端和守护进程通过 HTTPS 安全通信。TLS 确保了仓库端点的真实性,并且往返于仓库的流量是加密的。

本文演示了如何确保 Docker 仓库服务器和 Docker 守护进程(仓库服务器的客户端)之间的流量是加密的,并使用基于证书的客户端-服务器认证进行正确验证。

我们将向您展示如何为仓库安装证书颁发机构 (CA) 根证书,以及如何设置客户端 TLS 证书以进行验证。

了解配置

通过在 /etc/docker/certs.d 下创建一个与仓库主机名同名的目录(例如 localhost)来配置自定义证书。所有 *.crt 文件都作为 CA 根证书添加到此目录中。

注意

在 Linux 上,任何根证书颁发机构都会与系统默认证书合并,包括主机的根 CA 集。如果您在 Windows Server 上运行 Docker,或者使用带有 Windows 容器的 Docker Desktop for Windows,则只有在没有配置自定义根证书时才会使用系统默认证书。

存在一个或多个 <filename>.key/cert 对,向 Docker 表明访问所需仓库需要自定义证书。

注意

如果存在多个证书,则按字母顺序逐一尝试。如果出现 4xx 或 5xx 级别的身份验证错误,Docker 会继续尝试下一个证书。

下面说明了使用自定义证书的配置

    /etc/docker/certs.d/        <-- Certificate directory
    └── localhost:5000          <-- Hostname:port
       ├── client.cert          <-- Client certificate
       ├── client.key           <-- Client key
       └── ca.crt               <-- Root CA that signed
                                    the registry certificate, in PEM

前面的示例是特定于操作系统的,仅用于说明目的。您应该查阅您的操作系统文档来创建操作系统提供的捆绑证书链。

创建客户端证书

使用 OpenSSL 的 genrsareq 命令首先生成一个 RSA 密钥,然后使用该密钥创建证书。

$ openssl genrsa -out client.key 4096
$ openssl req -new -x509 -text -key client.key -out client.cert
注意

这些 TLS 命令仅在 Linux 上生成一组可用的证书。macOS 中的 OpenSSL 版本与 Docker 所需的证书类型不兼容。

故障排除提示

Docker 守护进程将 .crt 文件解释为 CA 证书,将 .cert 文件解释为客户端证书。如果一个 CA 证书被错误地赋予了 .cert 扩展名而不是正确的 .crt 扩展名,Docker 守护进程会记录以下错误消息:

Missing key KEY_NAME for client certificate CERT_NAME. CA certificates should use the extension .crt.

如果访问 Docker 仓库时不带端口号,请不要将端口添加到目录名中。下面显示了在默认端口 443 上的仓库配置,使用 docker login my-https.registry.example.com 进行访问。

    /etc/docker/certs.d/
    └── my-https.registry.example.com          <-- Hostname without port
       ├── client.cert
       ├── client.key
       └── ca.crt
© . This site is unofficial and not affiliated with Kubernetes or Docker Inc.