那些遇到过的问题

无法验证 <ip-address> 的证书,因为它不包含任何 IP SAN

bri*_*fey 7 continuous-deployment gitlab docker gitlab-ci docker-swarm

我正在研究将部署我的 docker 堆栈的 GitLab CI 管道。我正在尝试将 $DOCKER_HOST 设置为tcp://DROPLET_IP:2377,但是我收到一条错误消息,指出我的证书不包含任何 IP SAN。我正在使用 Digital Ocean Droplet 进行测试,所以我还没有为我的 Droplet 设置域名。

deploy:
  stage: deploy
  image: docker:stable
  services:
    - docker:dind
  variables:
    DOCKER_HOST: "tcp://$DROPLET_IP:2377"
    DOCKER_TLS_VERIFY: 1
  before_script:
    - mkdir -p ~/.docker
    - echo "$TLS_CA_CERT" > ~/.docker/ca.pem
    - echo "$TLS_CERT" > ~/.docker/cert.pem
    - echo "$TLS_KEY" > ~/.docker/key.pem
  script:
    - docker login -u gitlab-ci-token -p "$CI_JOB_TOKEN" "$CI_REGISTRY"
    - docker info
    - docker stack deploy --with-registry-auth --compose-file=docker-stack.yml mystack
Run Code Online (Sandbox Code Playgroud)

这是我在 GitLab CI 作业的输出中遇到的错误:

$ docker login -u gitlab-ci-token -p "$CI_JOB_TOKEN" "$CI_REGISTRY"
WARNING! Using --password via the CLI is insecure. Use --password-stdin.
error during connect: Post https://<ip-address>:2377/v1.39/auth: x509: cannot validate certificate for <ip-address> because it doesn't contain any IP SANs
Run Code Online (Sandbox Code Playgroud)

我正在使用以下一组命令来生成我尝试在上述阶段中使用的证书(ca.pem,server-cert.pemserver-key.pemdeploy。我已将TLS_CA_CERT,TLS_CERT和保存TLS_KEY到 GitLab CI 中正在使用的变量中。

openssl genrsa -aes256 -out ca-key.pem 4096

openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem

openssl genrsa -out server-key.pem 4096

openssl req -subj "/CN=<ip-address>" -sha256 -new -key server-key.pem -out server.csr

echo subjectAltName = IP:<ip-address> >> extfile.cnf

echo extendedKeyUsage = serverAuth >> extfile.cnf

openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out server-cert.pem -extfile extfile.cnf
Run Code Online (Sandbox Code Playgroud)

Von*_*onC 5

我看到您已将 IP 地址包含在subjectAltName

echo subjectAltName = IP:<ip-address> >> extfile.cnf
Run Code Online (Sandbox Code Playgroud)

检查,如下所示,这是否是配置问题:

我把 subjectAltName 放在了错误的部分。工作方法:基本上我编辑了openssl.cnf,在部分[v3_ca]我添加了“subjectAltName = IP:192.168.2.107”。
生成新证书并添加到服务器+客户端。

您需要确保您的扩展已在该v3_ca部分中声明,如此处所示

ofi*_*ule 5

从 OpenSSL 1.1.1 开始,通过引入标志来直接在命令行上提供 subjectAltName 变得更加容易-addextopenssl req

例子:

export HOST="my.host"
export IP="127.0.0.1"
openssl req -newkey rsa:4096 -nodes -keyout ${HOST}.key -x509 -days 365 -out ${HOST}.crt -addext 'subjectAltName = IP:${IP}' -subj '/C=US/ST=CA/L=SanFrancisco/O=MyCompany/OU=RND/CN=${HOST}/'
Run Code Online (Sandbox Code Playgroud)

受链接启发

归档时间:

查看次数:

18364 次

最近记录:

5 年,2 月 前
相关归档
存储库未在 docker build 中签名 90
Docker NLTK下载 24
docker build go项目失败 11
Docker 日志不可读 8
在 64 位机器上使用 -m32 构建 32 位程序时找不到 -lgcc(gcc、docker) 8
GitLab 项目上次存储库检查失败 8
Gitlab Ci 文件变量内容而不是路径 6
“此 Mac 不支持 Docker” 6
使用 Appian 进行版本管理和持续部署? 5
(EACCES:权限被拒绝,mkdir '/usr/app/node_modules/.cache)如何创建 docker-compose 文件以使 node_modules 成为非根文件夹? 5
难疑归档
如何丢弃Git中的未分级更改? 4562
如何在JavaScript中替换所有出现的字符串 4081
如何禁用textarea的resizable属性? 2541
如何在JavaScript中检查"undefined"? 2294
如何克隆或复制列表? 2289
如何显示已上演的更改? 2034
将文件从主机复制到Docker容器 1391
JavaScript中是否有"null coalescing"运算符? 1305
获取对象类型的名称 1159
如何在PHP中获取客户端IP地址 1123