生成站点证书
为您的站点生成根 CA 和 TLS 证书和密钥。对于生产站点,您可能希望使用诸如Let’s Encrypt生成 TLS 证书和密钥之类的服务,但此示例使用命令行工具。这一步有点复杂,但只是一个设置步骤,以便您可以将某些内容存储为 Docker 机密。如果你想跳过这些子步骤,你可以使用 Let's Encrypt生成站点密钥和证书,命名文件site.key和 site.crt,然后跳到 配置 Nginx 容器。
1.生成根密钥。
$ openssl genrsa -out "root-ca.key" 4096
2.使用根密钥生成 CSR。
$ openssl req
-new -key "root-ca.key"
-out "root-ca.csr" -sha256
-subj '/C=US/ST=CA/L=San Francisco/O=Docker/CN=Swarm Secret Example CA'
3.配置根 CA。编辑一个名为的新文件root-ca.cnf并将以下内容粘贴到其中。这限制了根 CA 只签署叶证书而不是中间 CA。
[root_ca]
basicConstraints = critical,CA:TRUE,pathlen:1
keyUsage = critical, nonRepudiation, cRLSign, keyCertSign
subjectKeyIdentifier=hash
4.签署证书。
$ openssl x509 -req -days 3650 -in "root-ca.csr"
-signkey "root-ca.key" -sha256 -out "root-ca.crt"
-extfile "root-ca.cnf" -extensions
root_ca
5.生成站点密钥。
$ openssl genrsa -out "site.key" 4096
6.生成站点证书并使用站点密钥对其进行签名。
$ openssl req -new -key "site.key" -out "site.csr" -sha256
-subj '/C=US/ST=CA/L=San Francisco/O=Docker/CN=localhost'
7.配置站点证书。编辑一个名为的新文件site.cnf并将以下内容粘贴到其中。这限制了站点证书,使其只能用于对服务器进行身份验证,而不能用于签署证书。
[server]
authorityKeyIdentifier=keyid,issuer
basicConstraints = critical,CA:FALSE
extendedKeyUsage=serverAuth
keyUsage = critical, digitalSignature, keyEncipherment
subjectAltName = DNS:localhost, IP:127.0.0.1
subjectKeyIdentifier=hash
8.签署站点证书。
$ openssl x509 -req -days 750 -in "site.csr" -sha256
-CA "root-ca.crt" -CAkey "root-ca.key" -CAcreateserial
-out "site.crt" -extfile "site.cnf" -extensions server
9.在site.csr和site.cnf文件不需要由Nginx的服务,但你需要他们,如果你想生成一个新的站点证书。保护root-ca.key文件。
