如何解决自签名证书可以保护多个CN / FQDN吗?
这是一个愚蠢的设置,但这是我现在正在查看的内容:
- 我正在学习Kubernetes
- 我想将自定义代码推送到我的Kubernetes集群,这意味着该代码必须作为Docker映像提供,可从 some Docker存储库(默认为Docker Hub)获得
- 尽管我愿意为Docker Hub付出代价(尽管我宁愿避免这样做),但我担心将自定义代码放在第三方服务上。 Sudden rate limits,security breaches,sudden ToS changes等
- 为此,我正在Kubernetes集群中运行自己的Docker注册表
- 我不想将在Kubernetes节点上运行的Docker客户端配置为信任不安全的(HTTP)Docker注册表。如果我确实选择从外部注册表中提取任何图像(例如,像
nginx
这样的公共图像,我可能会从Docker Hub中提取而不是在本地托管),那么我就不希望受到MITM攻击而换出该图像 - 最终,我将在集群中使用构建工具(无论是詹金斯还是其他人),从git中提取我的代码,构建映像,并将其推送到我的内部注册表中。然后,从注册表中提取的所有节点都位于群集中。由于注册表永远不需要从群集外部的源接收图像或将图像传递到群集外部的源,因此注册表不需要NodePort服务,而可以是ClusterIP服务...。 最终
- 在我准备好最终设置之前,我正在本地计算机上构建映像,并希望将其推送到注册表(从Internet)
- 因为我不打算最终使注册表可以从外界访问,所以我无法利用Let's Encrypt为其生成有效的证书(即使我要让Docker注册表可供外界使用, I can't use Let's Encrypt,anyway,而无需编写一些额外的代码来利用certbot之类的东西
我的计划是遵循this StackOverflow post中的示例:生成一个自签名证书,然后使用该证书启动Docker注册表。然后使用DaemonSet使该证书在群集中的所有节点上均受信任。
现在您已完成设置,这是我问题的症结所在:在群集中,可以通过简单的主机名(例如“ docker-registry”)访问Docker注册表,但是在群集之外,我需要访问通过指向节点或负载均衡器的节点IP地址或域名进行访问。
在生成我的自签名证书时,要求我提供证书的CN / FQDN。我输入了“ docker-registry”-我打算使用的内部主机名。然后,我尝试在本地访问注册表以将映像推送到它:
> docker pull ubuntu
> docker tag ubuntu example.com:5000/my-ubuntu
> docker push example.com:5000/my-ubuntu
The push refers to repository [example.com:5000/my-ubuntu]
Get https://example.com:5000/v2/: x509: certificate is valid for docker-registry,not example.com
我可以为example.com
而不是docker-registry
生成证书,但是我担心如果提供外部域,则在配置服务或从群集内部连接到注册表时会遇到问题而不是内部主机名。
这就是为什么我想知道我是否可以将我的自签名证书同时应用于 example.com
和 docker-registry
。如果没有,其他两个可接受的解决方案将是:
- 我可以告诉Docker客户端不要验证主机名,而只是隐式地信任证书吗?
- 我可以告诉Docker注册表根据用于访问它的主机名提供两个 不同 证书之一吗?
如果这三个选项都不可行,那么我总是可以放弃本地计算机上的映像,并开始在集群中构建映像的过程-但我希望推迟到以后。我现在正在学习很多东西,并努力避免被切向的事物分散注意力。
解决方法
解决问题的最简单方法可能是使用Docker的insecure-registry功能。您在帖子中提到的担忧(以后可能会使您面临安全风险)可能不会适用,因为该功能通过指定要信任的特定IP地址或主机名起作用。
例如,您可以配置类似
{
"insecure-registries" : [ "10.10.10.10:5000" ]
}
该Docker守护进程不使用TLS即可访问的唯一IP地址就是该主机和端口号。
如果您不想这样做,则需要获得一个受信任的TLS证书。您提到的关于每个证书具有多个名称的问题通常通过证书中的Subject Alternative Name字段来处理。 (实际上Kubernetes大量使用了该功能)。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。