Descripción

Mostrar y rotar la CA raíz

API 1.30+ El cliente y la API del demonio deben ser al menos 1,30 para usar este comando. Utilizar el docker version comando en el cliente para verificar las versiones de la API del demonio y del cliente.

Enjambre Este comando funciona con el orquestador Swarm.

Uso

docker swarm ca [OPTIONS]

Opciones

Nombre, taquigrafía Defecto Descripción
--ca-cert Ruta al certificado de CA raíz con formato PEM que se usará para el nuevo clúster
--ca-key Ruta a la CA raíz con formato PEM key para usar en el nuevo clúster
--cert-expiry 2160h0m0s Período de validez de los certificados de nodo (ns | us | ms | s | m | h)
--detach , -d Salga de inmediato en lugar de esperar a que converja la rotación de la raíz
--external-ca Especificaciones de uno o más puntos finales de firma de certificados
--quiet , -q Suprimir la salida de progreso
--rotate Gire la CA del enjambre – si no hay certificado o key se proporcionan, se generarán nuevos

Comando de padres

Mando Descripción
enjambre de estibadores Administrar enjambre

Comandos relacionados

Mando Descripción
docker swarm ca Mostrar y rotar la CA raíz
docker swarm init Inicializar un enjambre
unirse al enjambre de Docker Únase a un enjambre como nodo y / o administrador
ficha de unión de enjambre de docker Administrar tokens de unión
docker enjambre dejar Deja el enjambre
Desbloqueo de enjambre de Docker Desbloquear enjambre
Desbloqueo de enjambre de Dockerkey Gestionar el desbloqueo key
actualización de docker swarm Actualiza el enjambre

Descripción ampliada

Ver o rotar el certificado de CA de enjambre actual. Este comando debe apuntar a un nodo administrador.

Ejemplos de

Ejecutar el docker swarm ca comando sin ninguna opción para ver el certificado de CA raíz actual en formato PEM.

$ docker swarm ca
-----BEGIN CERTIFICATE-----
MIIBazCCARCgAwIBAgIUJPzo67QC7g8Ebg2ansjkZ8CbmaswCgYIKoZIzj0EAwIw
EzERMA8GA1UEAxMIc3dhcm0tY2EwHhcNMTcwNTAzMTcxMDAwWhcNMzcwNDI4MTcx
MDAwWjATMREwDwYDVQQDEwhzd2FybS1jYTBZMBMGByqGSM49AgEGCCqGSM49AwEH
A0IABKL6/C0sihYEb935wVPRA8MqzPLn3jzou0OJRXHsCLcVExigrMdgmLCC+Va4
+sJ+SLVO1eQbvLHH8uuDdF/QOU6jQjBAMA4GA1UdDwEB/wQEAwIBBjAPBgNVHRMB
Af8EBTADAQH/MB0GA1UdDgQWBBSfUy5bjUnBAx/B0GkOBKp91XvxzjAKBggqhkjO
PQQDAgNJADBGAiEAnbvh0puOS5R/qvy1PMHY1iksYKh2acsGLtL/jAIvO4ACIQCi
lIwQqLkJ48SQqCjG1DBTSBsHmMSRT+6mE2My+Z3GKA==
-----END CERTIFICATE-----

Pasa el --rotate bandera (y opcionalmente una --ca-cert, junto con un --ca-key o --external-ca bandera de parámetro), para rotar la CA raíz del enjambre actual.

$ docker swarm ca --rotate
desired root digest: sha256:05da740cf2577a25224c53019e2cce99bcc5ba09664ad6bb2a9425d9ebd1b53e
  rotated TLS certificates:  [=========================>                         ] 1/2 nodes
  rotated CA certificates:   [>                                                  ] 0/2 nodes

Una vez finalizada la rotación del sistema operativo (se han completado todas las barras de progreso), se imprimirá el certificado de CA actual:

$ docker swarm ca --rotate
desired root digest: sha256:05da740cf2577a25224c53019e2cce99bcc5ba09664ad6bb2a9425d9ebd1b53e
  rotated TLS certificates:  [==================================================>] 2/2 nodes
  rotated CA certificates:   [==================================================>] 2/2 nodes
-----BEGIN CERTIFICATE-----
MIIBazCCARCgAwIBAgIUFynG04h5Rrl4lKyA4/E65tYKg8IwCgYIKoZIzj0EAwIw
EzERMA8GA1UEAxMIc3dhcm0tY2EwHhcNMTcwNTE2MDAxMDAwWhcNMzcwNTExMDAx
MDAwWjATMREwDwYDVQQDEwhzd2FybS1jYTBZMBMGByqGSM49AgEGCCqGSM49AwEH
A0IABC2DuNrIETP7C7lfiEPk39tWaaU0I2RumUP4fX4+3m+87j0DU0CsemUaaOG6
+PxHhGu2VXQ4c9pctPHgf7vWeVajQjBAMA4GA1UdDwEB/wQEAwIBBjAPBgNVHRMB
Af8EBTADAQH/MB0GA1UdDgQWBBSEL02z6mCI3SmMDmITMr12qCRY2jAKBggqhkjO
PQQDAgNJADBGAiEA263Eb52+825EeNQZM0AME+aoH1319Zp9/J5ijILW+6ACIQCg
gyg5u9Iliel99l7SuMhNeLkrU7fXs+Of1nTyyM73ig==
-----END CERTIFICATE-----

--rotate

Se recomienda la rotación de la CA raíz si uno o más de los administradores de enjambre se han visto comprometidos, de modo que esos administradores ya no puedan conectarse ni ser de confianza para ningún otro nodo del clúster.

Alternativamente, la rotación de la CA raíz se puede utilizar para ceder el control de la CA del enjambre a una CA externa, o para recuperar el control de una CA externa.

los --rotate bandera no requiere ningún parámetro para hacer una rotación, pero opcionalmente puede especificar un certificado y key, o un certificado y una URL de CA externa, y se utilizarán en lugar de un certificado generado automáticamente /key par.

Porque la CA raíz key debe mantenerse en secreto, si se proporciona, no será visible cuando se visualice enjambre cualquier información a través de la CLI o API.

La rotación de la CA raíz no se completará hasta que todos los nodos registrados hayan rotado sus certificados TLS. Si la rotación no se completa en un período de tiempo razonable, intente ejecutar docker node ls --format '.ID .Hostname .Status .TLSStatus' para ver si alguno de los nodos está inactivo o no puede rotar los certificados TLS.

--detach

Inicie la rotación de la CA raíz, pero no espere a que finalice ni muestre el progreso de la rotación.