Posso reutilizar um certificado HTTPS do letsencrypt no meu registro privado do docker? [fechadas]

1

Eu tenho um servidor HAProxy que é exposto na internet. Eu usei um subdomínio como registry.mydomain.com para criar certificados letsencrypt, permitindo conexões criptografadas.

Agora, desejo usar o HAProxy para encaminhar o tráfego desse URL para algum enxame do docker em outros computadores. Nesse swarm, eu estou executando um Docker Registry, que, por sua vez, está pedindo por um certificado de criptografia.

Eu tentei reutilizar o mesmo que recebi do HAProxy. Infelizmente, quando o tráfego passa pelo HAProxy para o contêiner do Docker Registry, recebo essa mensagem de erro:

Error response from daemon: Get https://[swarm-ip]:5000/v1/users/: x509: cannot validate certificate for [swarm-ip] because it doesn't contain any IP SANs

Como programador tentando fazer coisas de rede, sinto que algo está faltando aqui, mas não consigo entender.

    
por RooSoft 14.06.2017 / 21:28

1 resposta

2

Com o seu certificado letsencrypt, o CN (registry.mydomain.com), não corresponderá ao URL que você está tentando acessar ([swarm-ip]).

Duas soluções para você, você pode criar sua própria CA para gerar seus próprios certificados e confiar nela. haproxy.

Ou, você pode apenas dizer ao haproxy para não verificar o certificado:

server myserver [swarm-ip]:5000 ssl verify none

Com isso, o tráfego ainda será criptografado entre o haproxy e o back-end, mas não verificará se o certificado é válido. Isso significa que você ainda pode estar vulnerável ao MITM .

Se você decidir informar ao seu haproxy para não verificar o seu certificado, você pode usar qualquer certificado que desejar, mesmo que seja auto-assinado.

    
por 16.06.2017 / 14:36