Имате нужда от насоки за създаване на инфраструктура с публичен ключ от онлайн доставчик

Искам да настроя защитен TLS за моите докер хостове, както е описано тук, който описва създаването на ваша собствена инфраструктура за публичен ключ (PKI). За производствени сървъри не е препоръчително да използвате свой собствен сертифициращ орган. Има ли онлайн сертифициращи органи, които могат да предоставят публични/частни ключове (.pem и .csr файлове) за мен? Разглеждах Lets Encrypt, тъй като знам, че могат да предоставят SSL сертификати, но не мога да намеря никакви насоки за предоставяне PKI.

Редактиране:

Това е настройката, която се опитвам да създам:

въведете описание на изображението тук

Може ли Let's Encrypt или друга онлайн услуга да предостави необходимите файлове с ключ/сертификат, както е представено на това изображение.


ssl lets-encrypt pki
person CSharp    schedule 19.06.2019    source източник
comment
Let's Encrypt е PKI. Вие използвате техните инструменти, за да създадете частния ключ и CSR във вашия докер екземпляр и инструментът изпраща CSR до Let's Encrypt, които подписват заявката и връщат сертификата автоматично на вашия екземпляр. В някои случаи дори може да го инсталира. Моля, редактирайте въпроса си, за да изброите допълнителните функции, от които се нуждаете, които Let's Encrypt не може да предостави.   -  person garethTheRed    schedule 19.06.2019
comment
Честно казано не съм сигурен дали Let's Encrypt не може да предостави необходимите токени за защита на демона Docker. За да защитя Docker Daemon, трябва да осигуря публични/частни ключове и сертификати (ca.cert) за Docker CLI, Manager и Worker възли. Редактирах въпроса, за да се надявам да добавя пояснение.   -  person CSharp    schedule 19.06.2019
comment
Мисля, че не успявате да разберете някои основи на PKI тук. Личният ключ не напуска обекта, който го притежава - затова се нарича частен ключ. Субектът използва своята двойка публичен/частен ключ, за да генерира CSR, който се изпраща (сам) на CA за подписване.   -  person garethTheRed    schedule 19.06.2019
comment
Let's Encrypt ще работи, ако всички обекти са публични - тоест имат глобален DNS запис. Let's Encrypt няма да подпише сертификат за частно пространство от имена като „example.com“, тъй като има много такива по света. Ако второто е това, което търсите, тогава можете или да създадете свой собствен PKI, или да изберете управлявана PKI услуга, която може да работи с вътрешни мрежи. Ако решите да създадете вътрешен такъв, бих ви посъветвал да не използвате OpenSSL в производството, тъй като около него няма управление.   -  person garethTheRed    schedule 19.06.2019
comment
Благодаря за разяснението. Мениджърът на рояк и работниците са публични, но не и Remote Docker Client. Това е бегач в Gitlab CI, който трябва да се внедри в моя мениджър на рояк.   -  person CSharp    schedule 19.06.2019

Отговори (1)


arrow_upward
1
arrow_downward

Можете да използвате услугите на Ascertia, за да настроите вашата pki структура. https://www.ascertia.com/ Те имат пълна PKI стандартна услуга за CA и управление на ключове.

person Moieen Abbas    schedule 23.07.2019