【问题标题】:Need guidance on creating a Public Key Infrastructure from an online provider需要从在线提供商处创建公钥基础设施的指导
【发布时间】:2019-07-23 19:12:40
【问题描述】:

我想为我的 docker 主机设置安全 TLS,如 here 所述,它描述了创建您自己的公钥基础设施 (PKI)。对于生产服务器,不建议使用您自己的证书颁发机构。是否有任何在线证书颁发机构可以为我提供公钥/私钥(.pem 和 .csr 文件)?我一直在查看Lets Encrypt,因为我知道他们可以提供 SSL 证书,但我找不到任何有关提供 PKI 的指导。

编辑:

这是我正在尝试创建的设置:

可以让我们加密或任何其他在线服务,提供必要的密钥/证书文件,如图所示。

【问题讨论】:

  • 让我们加密一个 PKI。您使用他们的工具在您的 docker 实例中创建私钥和 CSR,该工具将 CSR 发送给 Let's Encrypt,后者签署请求并将证书自动返回给您的实例。它甚至可以在某些情况下安装它。请编辑您的问题以列出 Let's Encrypt 无法提供的其他功能。
  • 老实说,我不确定 Let's Encrypt 是否无法提供必要的令牌来保护 Docker 守护进程。为了保护 Docker 守护进程,我需要为 Docker CLI、Manager 和 Worker 节点提供公钥/私钥和证书 (ca.cert)。我已经编辑了这个问题,希望能增加说明。
  • 我认为您在这里没有理解一些 PKI 基础知识。 private 密钥不会离开拥有它的实体——这就是它被称为私钥的原因。实体使用其公钥/私钥对生成 CSR,将其(单独)发送到 CA 进行签名。
  • 如果所有实体都是面向公众的,Let's Encrypt 将起作用——也就是说,它们有一个全局 DNS 条目。 Let's Encrypt 不会为私有命名空间(例如“example.com”)签署证书,因为世界上有很多这样的命名空间。如果后者是您所追求的,那么您可以创建自己的 PKI 或选择可以与内部网络一起使用的托管 PKI 服务。如果您确实选择创建一个内部的,我建议不要在生产中使用 OpenSSL,因为它周围没有治理。
  • 感谢您的澄清。 swarm manager 和 workers 是面向公众的,但不是 Remote Docker Client。这是 Gitlab CI 中的一个运行器,需要部署到我的 swarm 管理器。

标签: ssl lets-encrypt pki


【解决方案1】:

您可以使用 Ascertia 服务来设置您的 pki 结构。 https://www.ascertia.com/ 他们为 CA 和密钥管理提供完整的 PKI 标准服务。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2019-04-29
    • 2013-11-11
    • 1970-01-01
    • 1970-01-01
    • 2014-07-02
    • 2021-08-09
    • 1970-01-01
    相关资源
    最近更新 更多