Как проверить SSL-сертификат, используемый реестром Docker

Введение

Обеспечение безопасности вашей среды Docker имеет решающее значение, и проверка SSL-сертификата, используемого вашим реестром Docker, является важным шагом в поддержании этой безопасности. Этот учебник проведет вас через процесс проверки SSL-сертификатов для реестров Docker, помогая вам обеспечить безопасную связь и устранить любые проблемы, связанные с SSL-сертификатами.

К концу этой лабораторной работы вы поймете, как Docker использует SSL-сертификаты, сможете проверять и подтверждать сертификаты, используемые реестрами Docker, и будете знать, как решать распространенные проблемы с сертификатами.

Понимание SSL-сертификатов реестра Docker

Реестры Docker (Docker registries) — это репозитории, где хранятся и распространяются образы Docker. Эти реестры используют SSL/TLS-сертификаты для защиты связи между вашим клиентом Docker и сервером реестра. Давайте разберемся, что это за сертификаты и почему они важны.

Что такое SSL/TLS-сертификат?

SSL/TLS-сертификат — это цифровой документ, который:

• Устанавливает безопасное соединение между клиентом и сервером
• Шифрует данные, передаваемые между ними
• Проверяет подлинность сервера

Когда вы подключаетесь к реестру Docker, ваш клиент Docker проверяет SSL-сертификат реестра, чтобы убедиться, что соединение безопасно и что вы подключаетесь к легитимному реестру.

Изучение информации о сертификате с помощью OpenSSL

Давайте начнем с изучения того, как проверить информацию о сертификате с помощью OpenSSL, мощного инструмента для работы с SSL-сертификатами.

Сначала создадим каталог для нашей лабораторной работы:

mkdir -p ~/project/ssl-lab
cd ~/project/ssl-lab

Теперь давайте проверим SSL-сертификат для Docker Hub, который является распространенным реестром Docker:

openssl s_client -connect hub.docker.com:443 -showcerts < /dev/null

Эта команда подключается к Docker Hub и отображает информацию о его SSL-сертификате. Вы должны увидеть много информации в выводе, в том числе:

• Цепочка сертификатов (certificate chain)
• Информация об издателе (Issuer information)
• Даты действия сертификата
• Открытый ключ (public key)

Давайте извлечем только информацию о сертификате в более читаемом формате:

echo | openssl s_client -connect hub.docker.com:443 2> /dev/null | openssl x509 -text -noout | head -20

Эта команда показывает первые 20 строк сведений о сертификате, которые включают важную информацию, такую как:

• Версия (Version)
• Серийный номер (Serial Number)
• Алгоритм подписи (Signature Algorithm)
• Издатель (Certificate Authority)
• Срок действия (Validity period)
• Субъект (Subject) (кому принадлежит сертификат)

Понимание этой информации — первый шаг в проверке подлинности сертификата.

Проверка SSL-сертификатов реестра с помощью Docker CLI

Теперь, когда мы понимаем основы SSL-сертификатов, давайте узнаем, как проверять сертификаты специально для реестров Docker, используя Docker CLI.

Использование docker info для проверки конфигурации реестра

Docker CLI предоставляет инструменты для изучения конфигураций реестра, включая настройки их сертификатов.

Давайте проверим текущие конфигурации реестра, о которых знает Docker:

docker info --format '{{json .RegistryConfig.IndexConfigs}}' | python3 -m json.tool

Эта команда выводит сведения о конфигурации для всех реестров, о которых знает демон Docker, отформатированные в читаемую структуру JSON. Вы заметите, что Docker Hub (на index.docker.io) настроен по умолчанию.

Тестирование подключения к реестру

Давайте попробуем подключиться к Docker Hub, чтобы проверить его сертификат:

docker login

При появлении запроса вы можете нажать Ctrl+C, чтобы отменить вход в систему, поскольку мы просто тестируем соединение, а не выполняем вход.

Клиент Docker автоматически проверяет SSL-сертификат реестра в процессе входа в систему. Если сертификат действителен, вы увидите приглашение для входа. В противном случае Docker отобразит сообщение об ошибке.

Создание файла для проверки конкретного реестра

Давайте создадим скрипт для более тщательной проверки сертификата для конкретного реестра:

cat > check_registry_cert.sh << 'EOF'
#!/bin/bash

REGISTRY=${1:-"hub.docker.com"}
PORT=${2:-"443"}

echo "Checking certificate for $REGISTRY:$PORT..."
echo | openssl s_client -connect $REGISTRY:$PORT 2>/dev/null | openssl x509 -noout -dates -issuer -subject

echo -e "\nVerifying certificate chain..."
openssl s_client -connect $REGISTRY:$PORT -showcerts </dev/null 2>/dev/null | grep -A 1 "Certificate chain"
EOF

Теперь сделаем скрипт исполняемым:

chmod +x check_registry_cert.sh

Давайте запустим его, чтобы проверить сертификат Docker Hub:

./check_registry_cert.sh

Вы должны увидеть вывод, показывающий:

• Когда сертификат был выдан и когда истекает срок его действия
• Кто выдал сертификат
• Кому принадлежит сертификат
• Информацию о цепочке сертификатов

Давайте также проверим сертификат для другого реестра, реестра контейнеров Microsoft:

./check_registry_cert.sh mcr.microsoft.com

Сравните выводы, чтобы увидеть, как сертификаты могут различаться между реестрами.

Устранение неполадок, связанных с SSL-сертификатами

Даже при надлежащем процессе проверки вы можете столкнуться с проблемами SSL-сертификатов при работе с реестрами Docker. Давайте узнаем, как выявлять и решать наиболее распространенные проблемы.

Общие проблемы с SSL-сертификатами

Наиболее частые проблемы с SSL-сертификатами включают:

1. Самозаверяющие сертификаты (Self-signed certificates)
2. Истекшие сертификаты (Expired certificates)
3. Несоответствие имени хоста сертификата (Certificate hostname mismatches)
4. Ненадежные центры сертификации (Untrusted certificate authorities)

Давайте создадим каталог для моделирования и устранения этих проблем:

mkdir -p ~/project/ssl-lab/troubleshooting
cd ~/project/ssl-lab/troubleshooting

Создание тестового самозаверяющего сертификата

Сначала давайте создадим самозаверяющий сертификат, чтобы понять, как с ними работать:

openssl req -newkey rsa:2048 -nodes -keyout registry.key -x509 -days 365 -out registry.crt -subj "/CN=registry.example.com"

Эта команда создает:

• Закрытый ключ (private key) (registry.key)
• Самозаверяющий сертификат (registry.crt), действительный в течение 365 дней

Давайте изучим наш самозаверяющий сертификат:

openssl x509 -in registry.crt -text -noout | grep -E "Issuer|Subject|Not"

Обратите внимание, что в самозаверяющем сертификате Издатель (Issuer) и Субъект (Subject) совпадают, поскольку сертификат подписал сам себя.

Настройка Docker для доверия самозаверяющему сертификату

Чтобы заставить Docker доверять самозаверяющему сертификату, вы обычно добавляете его в каталог сертификатов Docker. Давайте создадим необходимую структуру каталогов:

sudo mkdir -p /etc/docker/certs.d/registry.example.com:5000
sudo cp registry.crt /etc/docker/certs.d/registry.example.com:5000/ca.crt

После добавления сертификата вы обычно перезапускаете Docker:

## We won't actually restart Docker in this lab
echo "In a real environment, you would run: sudo systemctl restart docker"

Работа с истекшими сертификатами

Давайте смоделируем проверку истекшего сертификата, создав его с датой истечения срока действия в прошлом:

openssl req -newkey rsa:2048 -nodes -keyout expired.key -x509 -days -30 -out expired.crt -subj "/CN=expired.example.com"

Теперь давайте изучим истекший сертификат:

openssl x509 -in expired.crt -text -noout | grep -E "Issuer|Subject|Not"

Вы увидите, что дата "Not After" находится в прошлом, что означает, что срок действия сертификата истек.

Настройка небезопасных реестров

В некоторых случаях вам может потребоваться использовать реестры с проблемами сертификатов. Docker позволяет вам пометить определенные реестры как "insecure" (небезопасные):

cat > daemon.json << 'EOF'
{
  "insecure-registries": [
    "registry.example.com:5000",
    "expired.example.com:5000"
  ]
}
EOF

echo "In a real environment, you would place this file at /etc/docker/daemon.json"
cat daemon.json

Эта конфигурация предписывает Docker пропустить проверку сертификатов для этих реестров, что может быть полезно для тестовых сред, но следует избегать в рабочей среде.

Скрипт для проверки истечения срока действия сертификата

Давайте создадим полезный скрипт для проверки того, что срок действия сертификата скоро истечет:

cat > check_expiration.sh << 'EOF'
#!/bin/bash

CERT_FILE=$1
DAYS_WARNING=${2:-30}

if [ ! -f "$CERT_FILE" ]; then
    echo "Certificate file not found: $CERT_FILE"
    exit 1
fi

## Get expiration date in seconds since epoch
EXPIRY=$(openssl x509 -in "$CERT_FILE" -noout -enddate | cut -d= -f2)
EXPIRY_SECONDS=$(date -d "$EXPIRY" +%s)
NOW_SECONDS=$(date +%s)
SECONDS_LEFT=$((EXPIRY_SECONDS - NOW_SECONDS))
DAYS_LEFT=$((SECONDS_LEFT / 86400))

echo "Certificate: $CERT_FILE"
echo "Expires on: $EXPIRY"
echo "Days remaining: $DAYS_LEFT"

if [ $DAYS_LEFT -lt 0 ]; then
    echo "CRITICAL: Certificate has EXPIRED!"
    exit 2
elif [ $DAYS_LEFT -lt $DAYS_WARNING ]; then
    echo "WARNING: Certificate will expire in less than $DAYS_WARNING days!"
    exit 1
else
    echo "OK: Certificate is valid for more than $DAYS_WARNING days."
    exit 0
fi
EOF

chmod +x check_expiration.sh

Давайте протестируем наш скрипт с обоими сертификатами:

./check_expiration.sh registry.crt
./check_expiration.sh expired.crt

Вы увидите, что скрипт правильно идентифицирует действительный сертификат и истекший.

Рекомендации по работе с SSL-сертификатами реестра Docker

Теперь, когда мы понимаем, как проверять и устранять неполадки с SSL-сертификатами, давайте рассмотрим лучшие практики управления сертификатами с реестрами Docker.

Автоматизация проверки сертификатов

Крайне важно регулярно проверять свои сертификаты, чтобы предотвратить непредвиденные сбои. Давайте создадим скрипт, который можно будет запланировать для периодического запуска:

cd ~/project/ssl-lab
cat > monitor_registry_certs.sh << 'EOF'
#!/bin/bash

## List of registries to check
REGISTRIES=(
  "hub.docker.com"
  "mcr.microsoft.com"
  "registry.k8s.io"
  "quay.io"
)

echo "========================================"
echo "Docker Registry Certificate Monitor"
echo "========================================"
echo "Date: $(date)"
echo ""

for registry in "${REGISTRIES[@]}"; do
  echo "Checking $registry..."
  CERT_INFO=$(echo | openssl s_client -connect $registry:443 2>/dev/null | openssl x509 -noout -dates -issuer -subject 2>/dev/null)
  
  if [ -z "$CERT_INFO" ]; then
    echo "ERROR: Could not retrieve certificate for $registry"
  else
    echo "$CERT_INFO"
    
    ## Extract expiry date
    EXPIRY=$(echo "$CERT_INFO" | grep "notAfter" | cut -d= -f2)
    EXPIRY_SECONDS=$(date -d "$EXPIRY" +%s)
    NOW_SECONDS=$(date +%s)
    DAYS_LEFT=$(( (EXPIRY_SECONDS - NOW_SECONDS) / 86400 ))
    
    echo "Days until expiry: $DAYS_LEFT"
    
    if [ $DAYS_LEFT -lt 30 ]; then
      echo "WARNING: Certificate will expire in less than 30 days!"
    fi
  fi
  echo "----------------------------------------"
done
EOF

chmod +x monitor_registry_certs.sh

Давайте запустим скрипт, чтобы увидеть, как он работает:

./monitor_registry_certs.sh

Этот скрипт проверяет несколько реестров и предупреждает вас, если срок действия каких-либо сертификатов истекает, что имеет решающее значение для предотвращения непредвиденных простоев.

Рекомендации по управлению сертификатами

Давайте создадим документ, описывающий лучшие практики управления сертификатами реестра Docker:

cat > certificate_best_practices.md << 'EOF'
## Рекомендации по управлению сертификатами реестра Docker

### Получение сертификатов
- Используйте сертификаты от доверенных центров сертификации (Certificate Authorities) для рабочих сред
- Используйте соответствующие типы сертификатов (DV, OV или EV в зависимости от потребностей)
- Убедитесь, что сертификаты соответствуют точным доменным именам, используемым для доступа к реестрам
- Рассмотрите возможность использования сертификатов с подстановочными знаками (wildcard certificates) для нескольких поддоменов
- Используйте соответствующие длины ключей (минимум 2048 бит для RSA)

### Развертывание сертификатов
- Безопасно храните сертификаты
- Используйте правильные разрешения на файлы (доступные только для чтения демоном Docker)
- Безопасно создавайте резервные копии сертификатов и закрытых ключей
- Реализуйте надлежащие процедуры ротации сертификатов
- Поддерживайте согласованность путей к сертификатам на всех узлах в кластере

### Мониторинг и обслуживание
- Настройте оповещения для сертификатов, срок действия которых истекает (не менее чем за 30 дней)
- Ведите учет всех используемых сертификатов
- Документируйте процедуры продления
- Протестируйте продление сертификатов в промежуточной среде перед рабочей
- Автоматизируйте продление сертификатов, где это возможно (с помощью таких инструментов, как certbot)

### Соображения безопасности
- Никогда не используйте небезопасные реестры в рабочих средах
- Избегайте использования самозаверяющих сертификатов в рабочей среде
- Реализуйте надлежащие процедуры отзыва сертификатов
- Регулярно проверяйте использование сертификатов и разрешения
- Поддерживайте актуальность пакета CA на всех системах
EOF

cat certificate_best_practices.md

Создание шаблона конфигурации для безопасных реестров

Наконец, давайте создадим шаблон для безопасной конфигурации реестра Docker:

cat > secure_registry_config.yml << 'EOF'
version: '3'

services:
  registry:
    image: registry:2
    ports:
      - 5000:5000
    environment:
      REGISTRY_HTTP_TLS_CERTIFICATE: /certs/domain.crt
      REGISTRY_HTTP_TLS_KEY: /certs/domain.key
      ## Additional security settings
      REGISTRY_STORAGE_DELETE_ENABLED: "true"
      REGISTRY_HTTP_HEADERS_X_CONTENT_TYPE_OPTIONS: nosniff
      REGISTRY_HTTP_HEADERS_X_FRAME_OPTIONS: DENY
    volumes:
      - ./certs:/certs
      - ./data:/var/lib/registry
    restart: always
    
  ## Optional: Add a UI for your registry
  registry-ui:
    image: joxit/docker-registry-ui:latest
    ports:
      - 8080:80
    environment:
      - REGISTRY_URL=https://registry:5000
      - REGISTRY_TITLE=Secure Docker Registry
      - SINGLE_REGISTRY=true
    depends_on:
      - registry
EOF

cat secure_registry_config.yml

Эта конфигурация предоставляет шаблон для запуска безопасного реестра Docker с правильной конфигурацией SSL-сертификата.

Краткое описание шагов управления SSL-сертификатами

Давайте создадим краткий справочник по управлению SSL-сертификатами с помощью Docker:

cat > ssl_management_summary.txt << 'EOF'
## Краткое описание управления SSL-сертификатами реестра Docker

1. ПРОВЕРЬТЕ сертификат реестра:
   openssl s_client -connect registry.example.com:443 -showcerts </dev/null

2. ДОБАВЬТЕ пользовательский сертификат для реестра:
   sudo mkdir -p /etc/docker/certs.d/registry.example.com:5000
   sudo cp registry.crt /etc/docker/certs.d/registry.example.com:5000/ca.crt
   sudo systemctl restart docker

3. НАСТРОЙТЕ небезопасный реестр (только для разработки):
   Добавьте в /etc/docker/daemon.json:
   { "insecure-registries": ["registry.example.com:5000"] }
   sudo systemctl restart docker

4. РЕГУЛЯРНО ПРОВЕРЯЙТЕ даты истечения срока действия:
   openssl x509 -in certificate.crt -noout -dates

5. АВТОМАТИЗИРУЙТЕ мониторинг сертификатов:
   Создавайте и планируйте скрипты для регулярной проверки сертификатов
EOF

cat ssl_management_summary.txt

Это краткое описание служит быстрым справочником по наиболее распространенным операциям, связанным с SSL-сертификатами реестра Docker.

Резюме

В этой лабораторной работе вы узнали, как проверять и управлять SSL-сертификатами для реестров Docker. Теперь у вас есть знания и инструменты для:

• Понимания того, что такое SSL-сертификаты и почему они важны для безопасности реестра Docker
• Проверки SSL-сертификатов с использованием команд OpenSSL и Docker CLI
• Устранения распространенных проблем с сертификатами, таких как истекшие сертификаты и самозаверяющие сертификаты
• Реализации лучших практик управления сертификатами
• Настройки Docker для работы с различными сценариями сертификатов
• Автоматизации мониторинга сертификатов для предотвращения непредвиденных сбоев

Эти навыки имеют решающее значение для поддержания безопасных сред Docker, особенно в производственных условиях, где безопасность имеет первостепенное значение. Регулярно проверяя и правильно управляя SSL-сертификатами реестра Docker, вы можете предотвратить уязвимости безопасности и обеспечить бесперебойную работу ваших контейнерных приложений.