Vault CLI的.crt和.key证书在运行Docker容器时会导致受信任的证书错误[NGINX]

Question

我现在正在与Vault CLI和nginx合作，目前我需要从Vault CLI抓取home.crt和door.key。在从保险库获得这样的数据后，我尝试将其复制到我的nginx.conf文档中。我已经验证了nginx.conf是独立工作的，但是当我通过.crt和.key复制用于SSL终止时。当试图运行Dockerfile时，我会收到此错误。

[emerg] 1#1: cannot load certificate "/etc/nginx/ssl/colossus.crt": PEM_read_bio_X509_AUX() failed (SSL: error:0909006C:PEM routines:get_name:no start line:Expecting: TRUSTED CERTIFICATE)
nginx: [emerg] cannot load certificate "/etc/nginx/ssl/colossus.crt": PEM_read_bio_X509_AUX() failed (SSL: error:0909006C:PEM routines:get_name:no start line:Expecting: TRUSTED CERTIFICATE)

我无法直接访问openSSL，如何解决这个问题？

Answer 1

文件/etc/nginx/ssl/colossus.crt是Vault自己的CA证书( PEM格式)。这不是您的nginx服务器证书。

您可以使用以下命令获得Vault的CA：

curl ${VAULT_ADDR}/v1/pki/ca/pem

如果你有一个多层次的CA，你也可以得到整个链.这里的细节。