【问题标题】:cannot validate certificate for <ip-address> because it doesn't contain any IP SANs无法验证 <ip-address> 的证书,因为它不包含任何 IP SAN
【发布时间】:2019-02-11 01:28:16
【问题描述】:

我正在开发一个将部署我的 docker 堆栈的 GitLab CI 管道。我正在尝试将 $DOCKER_HOST 设置为 tcp://DROPLET_IP:2377,但我收到一条错误消息,指出我的证书不包含任何 IP SAN。我正在使用 Digital Ocean Droplet 进行测试,所以我还没有为我的 Droplet 设置域名。

deploy:
  stage: deploy
  image: docker:stable
  services:
    - docker:dind
  variables:
    DOCKER_HOST: "tcp://$DROPLET_IP:2377"
    DOCKER_TLS_VERIFY: 1
  before_script:
    - mkdir -p ~/.docker
    - echo "$TLS_CA_CERT" > ~/.docker/ca.pem
    - echo "$TLS_CERT" > ~/.docker/cert.pem
    - echo "$TLS_KEY" > ~/.docker/key.pem
  script:
    - docker login -u gitlab-ci-token -p "$CI_JOB_TOKEN" "$CI_REGISTRY"
    - docker info
    - docker stack deploy --with-registry-auth --compose-file=docker-stack.yml mystack

这是我在 GitLab CI 作业的输出中遇到的错误:

$ docker login -u gitlab-ci-token -p "$CI_JOB_TOKEN" "$CI_REGISTRY"
WARNING! Using --password via the CLI is insecure. Use --password-stdin.
error during connect: Post https://<ip-address>:2377/v1.39/auth: x509: cannot validate certificate for <ip-address> because it doesn't contain any IP SANs

我正在使用以下命令集来生成我试图在上述deploy 阶段使用的证书(ca.pemserver-cert.pemserver-key.pem)。我已将 TLS_CA_CERTTLS_CERTTLS_KEY 保存到 GitLab CI 中使用的变量中。

openssl genrsa -aes256 -out ca-key.pem 4096

openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem

openssl genrsa -out server-key.pem 4096

openssl req -subj "/CN=<ip-address>" -sha256 -new -key server-key.pem -out server.csr

echo subjectAltName = IP:<ip-address> >> extfile.cnf

echo extendedKeyUsage = serverAuth >> extfile.cnf

openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out server-cert.pem -extfile extfile.cnf

【问题讨论】:

    标签: docker gitlab gitlab-ci docker-swarm continuous-deployment


    【解决方案1】:

    我看到你在subjectAltName中包含了IP地址

    echo subjectAltName = IP:<ip-address> >> extfile.cnf
    

    检查,as in here,如果这是配置问题:

    我把 subjectAltName 放在了错误的部分。工作方法:基本上我编辑了openssl.cnf,在[v3_ca]部分我添加了'subjectAltName = IP:192.168.2.107'。
    生成新证书并添加到服务器+客户端。

    您需要确保您的扩展在v3_ca 部分中声明为shown here

    【讨论】:

      【解决方案2】:

      从 OpenSSL 1.1.1 开始,直接在命令行上提供 subjectAltName 变得非常更容易,因为在 openssl req 中引入了 -addext 标志

      例子:

      export HOST="my.host"
      export IP="127.0.0.1"
      openssl req -newkey rsa:4096 -nodes -keyout ${HOST}.key -x509 -days 365 -out ${HOST}.crt -addext 'subjectAltName = IP:${IP}' -subj '/C=US/ST=CA/L=SanFrancisco/O=MyCompany/OU=RND/CN=${HOST}/'
      

      灵感来自link

      【讨论】:

        猜你喜欢
        • 1970-01-01
        • 2021-01-10
        • 2019-04-06
        • 1970-01-01
        • 2022-08-09
        • 2021-08-26
        • 1970-01-01
        • 2021-07-14
        • 1970-01-01
        相关资源
        最近更新 更多