SSL - 将受信任的根证书安装到 aspnetcore docker 容器

Question

我正在尝试在 microsoft/aspnetcore docker 映像上安装受信任的自签名根证书。

我在这里关注了以下主题，

Trusted Root Certificates in DotNet Core on Linux (RHEL 7.1)

Install certificate in dotnet core docker container

它对我不起作用。这是 docker build 的输出，

步骤 10/24：复制 corppvt_root_cert.cer /usr/local/share/ca-certificates/corppvt_root_cert.cer ---> af1674a5219c

步骤 11/24：复制 CCASRootCert.cer /usr/local/share/ca-certificates/CCASRootCert.cer ---> a2d6affc1ae1

步骤 12/24 : RUN update-ca-certificates ---> 在 ca6fb1b9aa50 中运行 更新 /etc/ssl/certs... 中的证书 0 添加，0 删除；完毕。 在 /etc/ca-certificates/update.d... 中运行挂钩已完成。移除 中间容器 ca6fb1b9aa50

从 RUN update-ca-certificates 命令的输出来看，它似乎无法识别/存储新复制的证书，因为输出显示 0 已添加，0 已删除。

我正在使用 microsoft/aspnetcore 图像。我相信基于 Ubuntu/Debian 的图像。所以证书位置应该是 /usr/local/share/ca-certificates/

有人可以建议这个命令有什么问题以及为什么证书存储没有更新吗？有没有人用过这个图片并且做过这个 ssl 的东西？

提前致谢！

Answer 1

您的证书没有得到安装/更新，因为 update-ca-certificates 只会选择 .crt，而不是 .cer。

只需重命名扩展并重试。

Answer 2

您不应该首先将证书放入您的容器中。在 docker 容器中使用 ASP.NET Core 时，典型的用例是将其配置为具有反向代理（例如 nginx、IIS 等）作为 ifs（面向互联网的服务器），它接受来自外部的请求并充当 SSL 终止端点以及负载均衡器。

从反向代理到您的应用程序容器的流量未加密（仅在您自己的网络内，而不是通过公共网络）。这在性能方面具有优势（负载均衡器将进行 ssl 加密）和更少的维护（如果您更改证书，则在反向代理上进行，它适用于后面的所有应用程序）。

反向代理应该发送X-Forwarded-* 标头，告诉后面的应用程序该请求是否使用 SSL 连接（X-Forwarded-Proto 标头），它是为谁转发的（X-Forarded-For，请求者 IP - 可能是另一个反向代理或最终用户 ip) 等。

ASP.NET Core 将识别此标头，并且不会将其视为 HTTPS 请求（即使从反向代理到您的应用程序的连接未加密）。