如何利用Docker生成SSL证书

今天，腾科小编为大家带来如何利用Docker生成SSL证书。当说起“Docker”与“SSL”，很多朋友首先想到的可能是利用SSL证书以保护Docker守护程序自身。没错，这项工作非常重要，但与之相关的指导资料已经相当丰富。今天，我们将反其道而行之，考虑如何利用Docker容器为主机创建SSL证书。

利用Docker生成SSL证书

很多开发者朋友可能压根没想到过这种作法。然而，这是一项非常便捷且极具实用性的技巧。那么利用Docker容器生成SSL证书，相对于主机生成有着哪些比较优势?

答案很简单，我们需要在主机上安装合适的工具(例如OpenSSL)才能实现这一任务。如果大家希望让自己的Docker服务器保持整洁，那么OpenSSL这类额外的工具当然是越少越好。另外，大家当然也不希望在生产型Docker服务器上执行证书生成任务。这类工作最好在测试设备上完成如果各位像小编一样利用个人笔记本充当测试设备，那么其中很可能并没有安装OpenSSL或者其它服务器工具。获取这些工具包并无难度，但小编实在不想让自己的笔记本真的变成服务器。小编个人有强迫症，喜爱简洁与明确的职能划分，相信不少朋友应该也与小编有着同样的偏好吧。

立足Docker容器生成SSL证书

相较于在主机之上生成证书，利用Docker容器创建SSL证书实在是种很赞的体验。流程非常简单，只需要如下几个步骤。

首先是利用Docker Hub Nginx镜像提取一套支持SSL证书创建的容器镜像。这套镜像已经内置有OpenSSL。(如果大家的镜像中尚不包含OpenSSL，则可自行添加或者在其启动时进行安装。)

作为示例，大家可以运行：

docker pull nginx

接下来，我们需要创建一条私钥与证书签署请求，命令如下：

docker run -v $PWD:/work -it nginx openssl req -out /work/CSR.csr -new

-newkey rsa:2048 -nodes -keyout /work/privateKey.key

可以看到，主机上的工作目录内已经包含有privateKey.key与CSR.csr两个文件。如果大家打算使用二者创建一份自签名证书，则可运行以下命令：

docker run -v $PWD:/work -it nginx openssl req -x509 -sha256 -nodes

-days 365 -newkey rsa:2048 -keyout privateKey.key -out

/work/certificate.crt

现在自签名证书certificate.crt已经存在于主机上的工作目录内了。

就是这么简单，无需在主机系统之上运行OpenSSL，已经成功利用OpenSSL创建了一份SSL证书。

进一步探索

大家可以利用以上命令实现更多其它功能。特别是如果各位希望以自动化方式为Docker主机或者容器创建SSL证书，则可以将以上合作整合进Dockerfile，而后利用Codefresh在Docker化应用内实现SSL证书生成。

很明显，Docker容器能够带来较主机更为快速且便捷的证书生成机制。如此简单明了的生成流程，大家还有什么理由不使用SSL证书进行加密呢?