docker swarm ca
| Descripción | Muestra y rota la CA raíz |
|---|---|
| Uso | docker swarm ca [OPTIONS] |
Swarm Este comando funciona con el orquestador de Swarm.
Descripción
Muestra o rota el certificado de la CA raíz actual del swarm.
NoteEste es un comando de administración de clústeres y debe ejecutarse en un nodo administrador (manager) de swarm. Para obtener información sobre nodos administradores y trabajadores, consulta la sección del modo Swarm en la documentación.
Opciones
| Opción | Predeterminado | Descripción |
|---|---|---|
--ca-cert | Ruta al certificado de CA raíz con formato PEM que se utilizará para el nuevo clúster | |
--ca-key | Ruta a la clave de CA raíz con formato PEM que se utilizará para el nuevo clúster | |
--cert-expiry | 2160h0m0s | Periodo de validez para los certificados de nodo (ns|us|ms|s|m|h) |
-d, --detach | Sale inmediatamente en lugar de esperar a que la rotación de la raíz converja | |
--external-ca | Especificaciones de uno o más endpoints de firma de certificados | |
-q, --quiet | Oculta la salida del progreso | |
--rotate | Rota la CA del swarm; si no se proporciona ningún certificado o clave, se generarán unos nuevos |
Ejemplos
Ejecuta el comando docker swarm ca sin ninguna opción para ver el certificado de la CA raíz actual en formato PEM.
$ docker swarm ca
-----BEGIN CERTIFICATE-----
MIIBazCCARCgAwIBAgIUJPzo67QC7g8Ebg2ansjkZ8CbmaswCgYIKoZIzj0EAwIw
EzERMA8GA1UEAxMIc3dhcm0tY2EwHhcNMTcwNTAzMTcxMDAwWhcNMzcwNDI4MTcx
MDAwWjATMREwDwYDVQQDEwhzd2FybS1jYTBZMBMGByqGSM49AgEGCCqGSM49AwEH
A0IABKL6/C0sihYEb935wVPRA8MqzPLn3jzou0OJRXHsCLcVExigrMdgmLCC+Va4
+sJ+SLVO1eQbvLHH8uuDdF/QOU6jQjBAMA4GA1UdDwEB/wQEAwIBBjAPBgNVHRMB
Af8EBTADAQH/MB0GA1UdDgQWBBSfUy5bjUnBAx/B0GkOBKp91XvxzjAKBggqhkjO
PQQDAgNJADBGAiEAnbvh0puOS5R/qvy1PMHY1iksYKh2acsGLtL/jAIvO4ACIQCi
lIwQqLkJ48SQqCjG1DBTSBsHmMSRT+6mE2My+Z3GKA==
-----END CERTIFICATE-----
Pasa la opción --rotate (y opcionalmente las opciones --ca-cert, junto con --ca-key o --external-ca) para rotar la CA raíz actual del swarm.
$ docker swarm ca --rotate
desired root digest: sha256:05da740cf2577a25224c53019e2cce99bcc5ba09664ad6bb2a9425d9ebd1b53e
rotated TLS certificates: [=========================> ] 1/2 nodes
rotated CA certificates: [> ] 0/2 nodes
Una vez que la rotación haya finalizado (se hayan completado todas las barras de progreso), se imprimirá el certificado de CA actualmente activo:
$ docker swarm ca --rotate
desired root digest: sha256:05da740cf2577a25224c53019e2cce99bcc5ba09664ad6bb2a9425d9ebd1b53e
rotated TLS certificates: [==================================================>] 2/2 nodes
rotated CA certificates: [==================================================>] 2/2 nodes
-----BEGIN CERTIFICATE-----
MIIBazCCARCgAwIBAgIUFynG04h5Rrl4lKyA4/E65tYKg8IwCgYIKoZIzj0EAwIw
EzERMA8GA1UEAxMIc3dhcm0tY2EwHhcNMTcwNTE2MDAxMDAwWhcNMzcwNTExMDAx
MDAwWjATMREwDwYDVQQDEwhzd2FybS1jYTBZMBMGByqGSM49AgEGCCqGSM49AwEH
A0IABC2DuNrIETP7C7lfiEPk39tWaaU0I2RumUP4fX4+3m+87j0DU0CsemUaaOG6
+PxHhGu2VXQ4c9pctPHgf7vWeVajQjBAMA4GA1UdDwEB/wQEAwIBBjAPBgNVHRMB
Af8EBTADAQH/MB0GA1UdDgQWBBSEL02z6mCI3SmMDmITMr12qCRY2jAKBggqhkjO
PQQDAgNJADBGAiEA263Eb52+825EeNQZM0AME+aoH1319Zp9/J5ijILW+6ACIQCg
gyg5u9Iliel99l7SuMhNeLkrU7fXs+Of1nTyyM73ig==
-----END CERTIFICATE-----
Rotación de la CA raíz (--rotate)
NoteMirantis Kubernetes Engine (MKE), anteriormente conocido como Docker UCP, proporciona un servicio de administración de certificados externo para el swarm. Si ejecutas swarm en MKE, no debes rotar los certificados de CA manualmente. En su lugar, ponte en contacto con el soporte de Mirantis si necesitas rotar un certificado.
Se recomienda la rotación de la CA raíz si uno o más administradores del swarm se han visto comprometidos, de modo que esos administradores ya no puedan conectarse a ningún otro nodo del clúster ni ser de confianza.
Alternativamente, la rotación de la CA raíz se puede utilizar para ceder el control de la CA del swarm a una CA externa, o para recuperar el control de una CA externa.
La opción --rotate no requiere parámetros para realizar una rotación, pero opcionalmente puedes especificar un certificado y una clave, o un certificado y la URL de una CA externa, y estos se utilizarán en lugar de un par certificado/clave generado automáticamente.
Dado que la clave de la CA raíz debe mantenerse en secreto, si se proporciona no será visible al ver cualquier información del swarm a través de la CLI o la API.
La rotación de la CA raíz no se completará hasta que todos los nodos registrados hayan rotado sus certificados TLS. Si la rotación no se completa en un periodo de tiempo razonable, intenta ejecutar docker node ls --format '{{.ID}} {{.Hostname}} {{.Status}} {{.TLSStatus}}' para ver si hay algún nodo inactivo o que por alguna otra razón no pueda rotar los certificados TLS.
Ejecutar la rotación de la CA raíz en modo desasociado (--detach)
Inicia la rotación de la CA raíz, pero no espera a que se complete ni muestra el progreso de la rotación.