配置 docker 远程连接的 TLS 时,为何 C/S 都需要证书

2021-10-12 12:54:44 +08:00
 cs419

实际配置

服务端为

dockerd \
--tlsverify \
--tlscacert=ca.pem \
--tlscert=server-cert.pem \
--tlskey=server-key.pem \
-H=0.0.0.0:2376

客户端为

docker --tlsverify \
--tlscacert=ca.pem \
--tlscert=client-cert.pem \
--tlskey=client-key.pem \
-H=$HOST:2376 version

文档地址 https://docs.docker.com/engine/security/protect-access/#create-a-ca-server-and-client-keys-with-openssl

认定的配置

服务端的参数没有疑问, 客户端感觉比较奇怪 觉着这样就 ok 了

docker --tlsverify \
--tlscacert=ca.pem \
-H=$HOST:2376 version

个人思路

证书的作用是 client 与 server 建立加密连接时
server 告知 client 自己的证书
client 检查证书的合法性,来确认 server 的身份

而官方文档的配置中
client 也需要一套 证书 有这个必要么??
难道 docker-server 端 会另外向 docker-client 发起连接请求
然后验证 client 的证书的合法性??

1004 次点击
所在节点    Docker
1 条回复
cs419
2021-10-12 13:27:09 +08:00
突然看到俩名词
SSL 双向认证、SSL 单向认证
。。。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/807269

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX