获取 DC/OS CA 捆绑包
ENTERPRISE
获取 DC/OS CA 捆绑包
如果您的 DC/OS 群集是使用 自定义外部证书,则此部分不适用。在这种情况下,您的客户端可能已经信任证书颁发机构。否则,您的群集管理员会告诉您如何获取和安装证书颁发机构的证书,以便您的客户端信任群集。
要确保您与 DC/OS 群集通信而不是与其他潜在恶意方通信,您必须获得适当的信任锚。此信任锚是 DC/OS CA 捆绑包的一部分,它是根 CA 证书的集合。在最简单的案例中,它只包含一个项目:对应于 DC/OS 证书颁发机构的根 CA 证书。您可以使用以下方法之一获取 DC/OS CA 捆绑包:
带外,推荐:检索 CA 捆绑包的唯一安全方式为带外。
从 Admin Router 通过 HTTP(S),不安全 :使用
curl
通过不安全 HTTP 或不安全 HTTPS 检索证书。
从带外检索 DC/OS CA 捆绑包
DC/OS CA 捆绑包位于文件系统路径 的任何主节点上。/run/dcos/pki/CA/ca-bundle.crt
. 为获得最大安全性,您应手动检索此文件。或者,如果无法物理访问主节点,则合理安全的方法是通过 SSH 连接到其中一个主节点以获取文件。为了简化和更容易地使用文档中其他地方提供的 curl
命令,您可以从 ca-bundle.crt
到 dcos-ca.crt
. 重命名文件。
使用 curl 检索 DC/OS CA 捆绑包
重要信息:如果您要使用 `curl` 来检索 DC/OS CA 捆绑包,则必须使用 `-k`/`—insecure` 标记。如果通过 HTTPS 执行通信,则此标记会禁用服务器证书验证。这会产生中间人攻击,此时,网络路径中的恶意方可能发送错误的 CA 捆绑包,导致您信任 DC/OS 群集外部的实体。
**先决条件:**您必须已安装 DC/OS CLI,以在以下命令中检索群集 URL。
使用以下命令检索 DC/OS CA 捆绑包,并将其保存在当前目录中:
curl -k -v $(dcos config show core.dcos_url)/ca/dcos-ca.crt -o dcos-ca.crt