【51CTO.com快译】在今天的文章中,我们将突破依靠主机实现SSL证书的局限,了解如何利用Docker生成此类证书。
当说起“Docker”与“SSL”,很多朋友首先想到的可能是利用SSL证书以保护Docker守护程序自身。没错,这项工作非常重要,但与之相关的指导资料已经相当丰富。今天,我们将反其道而行之,考虑如何利用Docker容器为主机创建SSL证书。
利用Docker生成SSL证书
很多开发者朋友可能压根没想到过这种作法。然而,这是一项非常便捷且极具实用性的技巧。那么让我们首先解答第一个疑问,利用Docker容器生成SSL证书,相对于主机生成有着哪些比较优势?
答案很简单,我们需要在主机上安装合适的工具(例如OpenSSL)才能实现这一任务。如果大家希望让自己的Docker服务器保持整洁,那么OpenSSL这类额外的工具当然是越少越好。另外,大家当然也不希望在生产型Docker服务器上执行证书生成任务。这类工作最好在测试设备上完成——如果各位像我一样利用个人笔记本充当测试设备,那么其中很可能并没有安装OpenSSL或者其它服务器工具。
获取这些工具包虽然并无难度,但我实在不想让自己的笔记本真的变成服务器。我个人喜爱简洁与明确的职能划分,相信不少朋友应该也与我有着同样的偏好。
立足Docker容器生成SSL证书
相较于在主机之上生成证书,对我来说能利用Docker容器创建SSL证书实在是种很赞的体验。流程非常简单,只需要如下几个步骤。
首先是利用Docker Hub Nginx镜像提取一套支持SSL证书创建的容器镜像。这套镜像已经内置有OpenSSL。(如果大家的镜像中尚不包含OpenSSL,则可自行添加或者在其启动时进行安装。)
作为示例,大家可以运行:
docker pull nginx
接下来,我们需要创建一条私钥与证书签署请求,命令如下:
docker run -v $PWD:/work -it nginx openssl req -out /work/CSR.csr -new
-newkey rsa:2048 -nodes -keyout /work/privateKey.key
可以看到,主机上的工作目录内已经包含有privateKey.key与CSR.csr两个文件。如果大家打算使用二者创建一份自签名证书,则可运行以下命令:
docker run -v $PWD:/work -it nginx openssl req -x509 -sha256 -nodes
-days 365 -newkey rsa:2048 -keyout privateKey.key -out
/work/certificate.crt
现在自签名证书certificate.crt已经存在于主机上的工作目录内了。
就是这么简单,无需在主机系统之上运行OpenSSL,我们已经成功利用OpenSSL创建了一份SSL证书。
进一步探索
大家可以利用以上命令实现更多其它功能。特别是如果各位希望以自动化方式为Docker主机或者容器创建SSL证书,则可以将以上合作整合进Dockerfile,而后利用Codefresh在Docker化应用内实现SSL证书生成。
很明显,Docker容器能够带来较主机更为快速且便捷的证书生成机制。如此简单明了的生成流程,大家还有什么理由不使用SSL证书进行加密呢?
作者:核子可乐译
来源:51CTO