V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
cs419
V2EX  ›  Docker

配置 docker 远程连接的 TLS 时,为何 C/S 都需要证书

  •  
  •   cs419 · 2021-10-12 12:54:44 +08:00 · 984 次点击
    这是一个创建于 1131 天前的主题,其中的信息可能已经有所发展或是发生改变。

    实际配置

    服务端为

    dockerd \
    --tlsverify \
    --tlscacert=ca.pem \
    --tlscert=server-cert.pem \
    --tlskey=server-key.pem \
    -H=0.0.0.0:2376
    

    客户端为

    docker --tlsverify \
    --tlscacert=ca.pem \
    --tlscert=client-cert.pem \
    --tlskey=client-key.pem \
    -H=$HOST:2376 version
    

    文档地址 https://docs.docker.com/engine/security/protect-access/#create-a-ca-server-and-client-keys-with-openssl

    认定的配置

    服务端的参数没有疑问, 客户端感觉比较奇怪 觉着这样就 ok 了

    docker --tlsverify \
    --tlscacert=ca.pem \
    -H=$HOST:2376 version
    

    个人思路

    证书的作用是 client 与 server 建立加密连接时
    server 告知 client 自己的证书
    client 检查证书的合法性,来确认 server 的身份

    而官方文档的配置中
    client 也需要一套 证书 有这个必要么??
    难道 docker-server 端 会另外向 docker-client 发起连接请求
    然后验证 client 的证书的合法性??

    cs419
        1
    cs419  
    OP
       2021-10-12 13:27:09 +08:00
    突然看到俩名词
    SSL 双向认证、SSL 单向认证
    。。。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   980 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 22:55 · PVG 06:55 · LAX 14:55 · JFK 17:55
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.