docker容器化for服务器的证书签名请求

Question

希望能有一个快速的回答。

从CA生成用于SSL证书的CSR时，创建CSR的openssl命令需要在安装docker的主机上运行，还是在将用作When服务器的docker容器中运行？

耽误您时间，实在对不起

Answer 1

只要签名的证书和私钥文件在您期望的容器中结束，并且您安全地处理私钥文件，那么在哪里运行命令就无关紧要了。

我倾向于在主机上运行它们，并使用docker run -v选项(或等效选项)注入它们。您不能将它们添加到镜像中，因为这会将私钥泄漏到不可变的共享镜像中。一般来说，在Docker容器中以交互方式运行命令不是首选路径。您也不希望在重新启动容器时重新生成证书(并且删除Docker容器是非常常见的情况；例如，您需要这样做才能升级容器中的软件)。