L'importation de l'auto-signé cert dans le Panneau de JRE cacert n'est pas reconnu par le service

  • Un Service Java est en cours d'exécution à l'intérieur du conteneur Docker, dont l'accès externes url HTTPS et son certificat auto-signé n'est pas disponible pour le service/JRE cacert fichier de clés et, par conséquent, la connexion échoue.
  • Donc importé le certificat auto-signé de HTTPS URL externe dans le Panneau du conteneur JRE cacert de magasin de clés. (après vérification de la $JAVA_HOME env. variable)
  • Redémarré le conteneur Docker (à l'aide de docker restart de commande), en espérant que le service est également obtenir redémarré et choisissez les changements de JRE cacert. Mais ce n'était pas le cas, le service Java ne parvient toujours pas à accéder au monde extérieur URL HTTPS.

Une idée de comment un service Java s'exécutant à l'intérieur du conteneur Docker choisir le JRE cacert change avec la nouvelle importation de certificat?

  • Est-il quelque chose qui manque à la réponse que vous venez de non sélectionnés?
InformationsquelleAutor Zeigeist | 2017-01-06
  1. 18

    Donc importé le certificat auto-signé de HTTPS URL externe dans le Panneau du conteneur JRE cacert keystore.

    Pas: vous devez l'importer dans le menu fixe image à partir duquel vous exécutez votre conteneur.

    De l'importer dans le conteneur ne ferait que créer un temporaire écriture de la couche de données, qui seront ignorés lorsque vous redémarrez votre conteneur.

    Quelque chose comme cette réponse:

    USER root
COPY ldap.cer $JAVA_HOME/jre/lib/security
RUN \
    cd $JAVA_HOME/jre/lib/security \
    && keytool -keystore cacerts -storepass changeit -noprompt -trustcacerts -importcert -alias ldapcert -file ldap.cer
    • Génial! Je l'ai essayé avec un DER certificat chiffré à un docker en cours d'exécution sur DEBIAN et il fonctionne parfaitement.
    • Je pense que c'est la meilleure solution, il suffit d'exporter le certificat codé en base 64 X. 509 pour éviter les tracas de la copie d'un fichier binaire
    InformationsquelleAutor VonC
  2. 13

    Déjà configuré pour l'utilisation de java à base de conteneurs comme jenkins, sonarqube ou nexus (e. g. si vous utilisez votre propre serveur de build) je trouve qu'il est plus commode de monter un adapté cacerts-fichier dans ces conteneurs avec un paramètre pour docker run .

    - Je utiliser le cacerts fichier de openjdk comme base:

    1. extraction cacerts de openjdk image en utilisant une temporaire de conteneurs:
    docker pull openjdk:latest
docker run --rm --entrypoint cat openjdk:latest /etc/ssl/certs/java/cacerts > cacerts
    1. l'ajout d'un certificat à l'extrait cacerts à l'aide d'un temporaire de conteneurs a commencé à partir du même dossier qui contient également ldap.cer:
    docker run --rm -v `pwd`:/tmp/certs openjdk:latest bash -c 'cd /tmp/certs && keytool -keystore cacerts -storepass changeit -noprompt -trustcacerts -importcert -alias buenting-root -file ldap.cer'
    1. exécuter votre cible docker conteneur(s) de montage de l'extrait cacerts avec un paramètre, l'e. g. pour sonarqube:
    docker run ... -v /path/to/your/prepared/cacerts:/etc/ssl/certs/java/cacerts:ro ... sonarqube:lts

    Si il y a une nouvelle version de openjdk vous pouvez mettre à jour le cacerts-fichier sur l'hôte avec les commandes à partir de 1. et 2.

    Pour la mise à jour de l'image de la cible (e. g. sonarqube) vous n'avez pas besoin de créer votre propre image à l'aide de Dockerfile et docker build.

    • C'est incroyable.
    • Cela peut bien fonctionner, jusqu'à ce que votre image de fournisseur décide de changer de version de Java. Rester avec le vieux cacerts fichier peut avoir des conséquences imprévues, y compris de confiance Tas qui ne devrait pas être plus de confiance. Pour éviter cela, vous devez suivre la version Java de l'image de l'intérêt et de l'extrait de nouveau fichier lorsque cela se produit. De ce fait, il devient pas si facile, plus.
    • C'est encore plus facile. Avec une nouvelle version de java disponible, il vous suffit de mettre à jour le fichier cacerts sur le panneau d'accueil et vous n'avez même pas à remplacer l'image ou le conteneur. Ensuite, les certificats utilisés peuvent même être plus récentes que celles prévues dans l'image.
    • Ce travail sera si j'ai un certificat auto-signé dont j'ai besoin dans mon menu fixe de l'image? Il fonctionne très bien si je le mentionne le certificat dans le Dockerfile et exécuter keypass. Cependant, je veux une solution telle que je n'ai pas besoin de modifier l'image. Je voudrais mentionner le certificat dans le cadre de l'exécution de mon conteneur.
    • La dernière commande est destiné à être exécuté votre conteneur cible, qui utilise ensuite le fichier cacerts enregistré sur le panneau d'accueil. Pas besoin de modifier l'image.
    InformationsquelleAutor Volker Seibt