无法将证书添加到高山linux容器

时间:2018-09-16 14:55:14

标签: docker ssl dockerfile alpine

我在一个高山linux容器中有一个小的python应用,这是dockerfile:

FROM alpine

# basic flask environment
RUN apk add --no-cache bash git nginx uwsgi uwsgi-python py2-pip \
    && pip2 install --upgrade pip \
    && pip2 install flask

# application folder
ENV APP_DIR /app
ENV FLASK_APP app.py

# app dir
RUN mkdir ${APP_DIR} \
    && chown -R nginx:nginx ${APP_DIR} \
    && chmod 777 /run/ -R \
    && chmod 777 /root/ -R
VOLUME [${APP_DIR}]
WORKDIR ${APP_DIR}

# copy config files into filesystem
COPY nginx.conf /etc/nginx/nginx.conf
COPY app.ini /app.ini
COPY entrypoint.sh /entrypoint.sh

RUN apk update && apk add ca-certificates && rm -rf /var/cache/apk/*
COPY ./cert.pem /usr/local/share/ca-certificates/mycert.pem
COPY ./key.pem /usr/local/share/ca-certificates/mykey.pem
COPY ./ssl_password_file.pass /etc/keys/global.pass
RUN update-ca-certificates

COPY . /app
WORKDIR /app
RUN pip install -r requirements.txt
EXPOSE 5000
ENTRYPOINT ["/entrypoint.sh"]

这在2周前工作正常,但是当我最近尝试重建它时,出现此错误:

WARNING: ca-certificates.crt does not contain exactly one certificate or CRL: skipping
WARNING: ca-cert-mykey.pem.pem does not contain exactly one certificate or CRL: skipping

所以我检查了那些文件,发现由于某种原因,现在文件ca-certificates.crt现在具有证书链。 我发现堆栈上有this

  

/etc/ssl/certs/ca-certificates.crt实际上是附加每个   来自/ usr / local / share / ca-certificates的单个证书。

但是发生了什么变化?为什么这现在是一个问题? 所以我试图恢复到旧版本的alpine linux-同样的问题。 我尝试重新创建证书,尝试从容器中删除一堆证书,在更新之前检查了pem文件,以确保它们只是一个证书,并且显然在运行后直接

RUN update-ca-certificates

出现许多证书。 帮助吗?

1 个答案:

答案 0 :(得分:1)

我认为以下内容对我有用(我在从阿尔卑斯山延伸的blackfire / blackfire图片上添加了根证书):

RUN apk update && apk add ca-certificates && rm -rf /var/cache/apk/* \
  mkdir /usr/local/share/ca-certificates/extra
COPY .docker/other/cert_Intertrials-CA.crt /usr/local/share/ca-certificates/extra
RUN update-ca-certificates

然后我登录到该VM,并查看它是否已将其添加到合并的证书文件/etc/ssl/certs/ca-certificates.crt中(我相信我听说它从/ usr / local /内部获取每个证书文件share / ca-certificates并合并到/etc/ssl/certs/ca-certificates.crt文件中。)

现在,您可能会得到“不完全包含一个证书或CRL:正在跳过”错误,但是我听说很好。

https://github.com/gliderlabs/docker-alpine/issues/30 提到:“这只是警告,不应影响任何事情。”

https://github.com/gliderlabs/docker-alpine/issues/52 提到: “警告:ca-certificates.crt并不只包含一个证书或CRL:只是说它是警告,这是警告。这是说ca-certificates.crt仅包含一个证书(因为它是所有证书的串联),因此它被跳过并且不包含在ca-certificates.crt中(因为它不能包含自身)。“
“显示的警告是正常的。”

相关问题
最新问题