[英]Adding ca-certificates to a Tomcat Docker container run with a designated user
我有一个直接安装到/ usr / local / share / ca-certificates -folder的Docker卷。
certificate-folder:/usr/local/share/ca-certificates:ro
我正在使用Tomcat进行此设置,但是其他框架也可能遇到类似的问题。 Dockerfile的基础是这样的:
FROM tomcat:8.5-jre8
# other Dockerfile configuration
CMD ["/start.sh"]
使用包含关键行的start.sh
#!/usr/bin/env bash
update-ca-certificates
# other startup related tasks
catalina.sh run
此设置的问题在于,只要我以root用户身份运行容器,它就可以正常工作。 但是,如果我尝试使用类似以下的方法在Dockerfile的末尾更改为指定用户,
ENV TOMCAT_USER="tomcat" \
TOMCAT_UID="8080" \
TOMCAT_GROUP="tomcat" \
TOMCAT_GID="8080"
RUN groupadd -r --gid $TOMCAT_GID $TOMCAT_GROUP && \
useradd -r --uid $TOMCAT_UID --gid $TOMCAT_GID $TOMCAT_USER
RUN chown -R $TOMCAT_USER:$TOMCAT_GROUP /usr/local/tomcat
USER $TOMCAT_USER
所以:
因此,我最终会遇到这样的SSL问题
javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed:
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
那么,如果我仍然希望以指定的$ TOMCAT_USER身份运行容器,那么解决此类问题的正确方法是什么?
由于update-ca-certificates
需要root权限才能更新/etc/ssl/certs
,因此我只看到三种可能的方法(一种可行的解决方案-下面的第三种):
从入口点删除update-ca-certificates
并在USER $TOMCAT_USER
行之前添加RUN update-ca-certificates
命令。 (但是,您正在使用的卷在构建时将不可用,因此无法使用…)
给sudo
权限(无密码)到您的$TOMCAT_USER
,并替换update-ca-certificates
与sudo update-ca-certificates
。 (但是,从安全角度来看,此解决方案可能并不令人满意...)
从您的Dockerfile中删除USER $TOMCAT_USER
TOMCAT_USER; 如果愿意,请保留CMD ["/start.sh"]
或ENTRYPOINT ["/start.sh"]
; 并依赖gosu工具,该工具的主要用例就是从根用户降级为非特权用户,同时享有比sudo wrt TTY和信号转发更好的行为。
您只需执行以下操作即可安装gosu
:
RUN apt-get update -y -q && \\ DEBIAN_FRONTEND=noninteractive \\ apt-get install -y -q --no-install-recommends gosu
(因为tomcat:8.5-jre8
是基于Debian的)并通过编写以下代码来使用它:
start.sh
#!/usr/bin/env bash update-ca-certificates # other startup related tasks exec gosu $TOMCAT_UID:$TOMCAT_GID catalina.sh run
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.