Tag: ssl

如何在Docker Swarm中为Swarm集群中的特定容器启用JMX？

问题陈述：我需要通过JMX连接到Docker群服务中的特定容器。 服务没有暴露在任何端口上，所以我不能通过直接打开暴露端口上的docker基板来访问JMX。 另外，在服务暴露的情况下，群集负载平衡并不能保证我打哪个容器。

在禁用通过authconfig重新启用tls之后，openldap会在客户端上运行身份validation

在我的docker openldap服务器和客户端容器上工作时遇到一个奇怪的问题。 要启用ldap身份validationtls我必须先通过authconfig禁用它，然后重新启用。 我也禁用了cachinglogin。 如果我不先禁用tls，只执行第二个命令，那么从sshlogin是不成功的 $ docker exec -t datanode1 bash -c 'authconfig –enableldap –enableldapauth –ldapserver="kerbldap.dkdocker.com" \ –ldapbasedn="dc=dkdocker,dc=com" –enablesssd –enablesssdauth –enableldaptls –enablemkhomedir –update' $ ssh dhiren@localhost -p 2224 dhiren@localhost's password: Permission denied, please try again. dhiren@localhost's password: $ docker exec -t datanode1 bash -c 'authconfig –disableldaptls –update' $ docker exec -t datanode1 bash -c 'authconfig […]

如何在Docker中为SSL添加适当的标签？

我已经设法设置Traefik来与我的docker群一起工作，对于HTTP请求，它工作的很好。 但是，我不知道如何为我的一些容器安装SSL。 我将使用letsencrypt来生成证书。 traefik.toml（部分） defaultEntryPoints = ["https","http"] [entryPoints] [entryPoints.http] address = ":80" [entryPoints.https] address = ":443" [entryPoints.https.tls] [acme] email = "acme@example.com" storage = "acme.json" entryPoint = "https" onHostRule = true caServer = "https://acme-staging.api.letsencrypt.org/directory" 泊坞窗，compose.yml version: '3' services: web: … deploy: labels: – "traefik.enable=true" – "traefik.frontend.rule=Host:example.com,www.example.com" – "traefik.docker.network=public" – "traefik.frontend.entryPoints=http" – "traefik.backend=service_web" 在此configuration中，我的应用程序永远不会到达SSL，因为我的容器没有安装SSL入口点。 如果我把“traefik.frontend.entryPoints”改为“https”，Letsencrypt就会被调用（LE因为升级而出错，但这对我来说并不重要）。 我最大的问题是，我仍然不知道如何将traefik TOMLconfiguration转换为docker-compose标签。 […]

为什么在安全的https模式下启动docker守护进程后，我得到空的响应？

我跟着这个链接来configurationdocker守护进程以通过安全的https连接运行。 我可以创build服务器证书，并且可以使用这些证书以https模式启动docker守护程序 为了与服务器通信客户端，我创build了一个p12证书，并在客户端使用了该证书 现在我可以使用证书连接客户端和服务器。 我的问题是为什么我得到空响应，当我有一些数据在docker？

SSL集成Azure泊坞窗

我们有docker swarm容器，并希望启用https到这个服务。 谁能告诉我如何将Windows Azure Docker容器服务与SSL证书集成？

python库aiohttp / asyncio在哪里得到它的证书存储？

我正在运行一个以Ubuntu为基础的Docker容器，并且正在尝试向该项目添加一个新的证书颁发机构。 我不完全确定什么是失败的，但我似乎无法使其工作。 我按照这个页面上的指示： http : //manpages.ubuntu.com/manpages/zesty/man8/update-ca-certificates.8.html通过将CA文件添加到/ usr / share / ca-certificates目录中，在/etc/ca-certificates.conf中指定CA文件，然后运行update-ca-certificates，完成后会显示一条消息，指出已添加3个新证书。 但是，aiohttp仍在打印错误 aiohttp.errors.ClientOSError：[Errno 1]无法连接到主机www.myserver.com:443 ssl：True [无法连接到www.myserver.com:443 [[SSL：CERTIFICATE_VERIFY_FAILED]证书validation失败（_ssl.c： 719）]] 我被告知，aiohttp本身并不访问证书存储，而是依赖asyncio，最近我认为它被Python吸收。 所以我不知道是否有某个地方使用不同的证书存储，但是我只想知道在哪里可以添加我的CA文件，这样他们就可以使用aiohttp。

尝试login到受信任（？）dockerregistry时出现x509错误

我已经build立了一个使用港口dockerregistry。 我在/usr/share/local/ca-certificates复制了相应的证书，并成功运行sudo update-ca-certificates 。 （表示新增证书的数量）。 当试图login到特定的registry时： ubuntu@master1:/home/vagrant$ docker login my.registry.url Username: pkaramol Password: Error response from daemon: Get https://my.registry.url/v2/: x509: certificate signed by unknown authority 但是下面的testing成功了： openssl s_client -connect my.registry.url:443 -CApath /etc/ssl/certs/ …回来了很多详细的输出，证书本身，结束于： Verify return code: 0 (ok) curl也会成功上面的https链接（当网站不可信时它会失败）。 有什么build议么？

Azure应用程序容器 – 代理访问端口443 – 混合内容

我部署了一个“Azure应用程序服务”泊坞窗容器，基本上工作正常。 我已经设置了一个自定义的SSL证书和域绑定！ 太棒了！ 现在的问题是，Azure代理肯定会接受端口443（https）入口，但是它不会在端口80以外的任何东西上联系到docker容器。这意味着docker上的nginx认为stream量来自HTTP，并写入相对URL为http; 给混合内容错误。 我如何让Azure通过SSL与443端口的docker容器联系，以便nginx服务器知道如何处理相关的url？ 最好的，乔纳斯

由未知权威签署的docker x509证书

我是一个绝对的初学者在Docker和成功安装在我的工作站Ubuntu的16.04.3最新的docker版本。 但是当我现在尝试做下面的事情：docker run hello-world无法在本地查找图像'hello-world：latest'拉取存储库docker.io/library/hello-world docker：拉取图像时出错：Get https：// index .docker.io / v1 / repositories / library / hello-world / images ：x509：由未知权威签名的证书。 参见“docker运行 – 帮助”。 我得到了x509错误信息的问题。 我们在我们公司有一个防火墙，我已经把我们公司的根证书复制到/etc/docker/certs.d/我们也使用互联网代理与互联网进行通信，所以我configuration了以systemd开头的守护进程，我设置了http代理和https代理的环境，但仍然得到相同的x509错误消息。 有人可以帮我吗？ 谢谢 $ docker -v Docker版本1.12.6，build 78d1802

Docker机器不能仅处理docker守护进程的客户机ca cert auth

我正在使用像下面这样的可configuration参数来使用我自定义的docker守护进程。 /usr/bin/dockerd -H tcp://0.0.0.0:2376 -H unix:///docker/docker.sock –data-root /docker/data –exec-root /docker/exec –tls –tlscert /etc/docker/server-cert.pem –tlskey /etc/docker/server-key.pem –storage-driver aufs -p /docker/docker.pid 我只使用ca.pem进行身份validation; 基本上基于给定的CAauthentication服务器（在我的情况下自签名） 我也尝试在同一行创builddocker-machineconfiguration（不要问我为什么，但是我需要这个，因为我正在自定义守护进程）。 我尝试通过提供以下详细信息来创builddocker-machine config.json文件。 但它总是失败。 相反，我不知道为什么这个微不足道的行为不被docker-machine支持。 … "AuthOptions": { "CertDir": "$HOME/.docker/machine/certs", "CaCertPath": "$HOME/.docker/machine/machines/2017_11_10____11_38_00/ca.pem" } … 我看到了这个和下面的观察机器的源代码; 这意味着客户端密钥和证书是TLS强制性的。请让我知道我缺less什么。 我需要基本的docker-machine，只需ca.pem就可以在客户端configuration最less的tls 注意：我只使用TLS而不使用TLS_VERIFY。 来源： https ： //github.com/docker/machine/blob/master/libmachine/cert/cert.go // ReadTLSConfig reads the tls config for a machine. func (xcg *X509CertGenerator) […]