docker containerssl証明書

Dockerプルから取得したイメージにSSL証明書を追加するエレガントな方法はありますか？

/ etc / ssl / certsにファイルを追加し、update-ca-certificatesを実行する簡単で再現性のある方法を探しています。（これはubuntuとdebianの画像をカバーする必要があります）。

CoreOSでdockerを使用しており、coreosマシンは必要なssl証明書を信頼していますが、dockerコンテナーには明らかにデフォルトしかありません。

を使用docker run --entrypoint=/bin/bashして証明書を追加して実行しようとしましたupdate-ca-certificatesが、これはエントリポイントを永続的に上書きするようです。

私も今疑問に思っていますが/etc/ssl/certs、ホストマシンのコピーからコンテナにマウントする方がエレガントでしょうか？これを行うと、コンテナはホストと同じものを暗黙的に信頼できるようになります。

私はすべてを辞任する迷惑なプロキシを使用しています:(。これはSSLを壊し、コンテナを操作するのがちょっと奇妙になります。

以下を使用して、Dockerコンテナに証明書をマウントし-vます。

docker run -v /host/path/to/certs:/container/path/to/certs -d IMAGE_ID "update-ca-certificates"

私はこれに似た何かをしようとしています。上でコメントしたように、カスタムDockerfile（ベースイメージとしてプルしたイメージを使用）、ADD証明書、そしてを使用して新しいイメージを構築することをお勧めしますRUN update-ca-certificates。このようにして、この新しいイメージからコンテナーを開始するたびに、一貫した状態が得られます。

# Dockerfile
FROM some-base-image:0.1
ADD you_certificate.crt:/container/cert/path
RUN update-ca-certificates

docker buildDockerfileがIMAGE_IDを生成したことに反対するとしましょう。次にdocker run -d [any other options] IMAGE_ID、そのコマンドで開始されたコンテナに証明書情報が含まれます。シンプルで再現性があります。

上記のコメントで示唆されているように、ホスト上の証明書ストアがゲストと互換性がある場合は、直接マウントすることができます。

Debianホスト（およびコンテナ）で、私は正常に実行しました：

docker run -v /etc/ssl/certs:/etc/ssl/certs:ro ...

相対パスを使用して、ボリュームをコンテナーにマウントできます。

docker run -v `pwd`/certs:/container/path/to/certs ...

pwd現在の作業ディレクトリを示すの後ろのチェックマークに注意してください。が実行されるcerts現在のディレクトリにフォルダがあることを前提としていますdocker run。ローカル開発に最適で、certsフォルダーをプロジェクトに表示したままにします。