docker cli工具为tls auth提供了两个选项:--tls和--tlsverify。
这两个选项有什么区别?
我已经设置了远程docker守护程序,以使用我使用openssl创建的一些TLS证书。我可以使用--tls标志连接到守护程序,但使用--tlsverify
答案 0 :(得分:2)
如果您自己“制作”证书(即自签名),则不太可能验证证书。使用--tls选项只是指示Docker按原样使用证书,而无需使用root权限验证证书。 --tlsverify要求在使用证书之前可以使用root权限验证证书。
有关详细信息,请参阅https://docs.docker.com/engine/security/https/,特别是(强调我的):
如果您需要以安全的方式通过网络访问Docker,您可以通过指定tlsverify标志并将Docker的tlscacert标志指向可信CA证书来启用TLS。
在守护程序模式下,它仅允许来自由该CA 签署的证书进行身份验证的客户端的连接。在客户端模式下,它只会连接到具有
由该CA签名 的证书的服务器。
换句话说,您遇到的行为不是Docker问题,而是更多的证书问题。