Hosten ASP.NET Core Images mit Docker über HTTPS

Von Rick Anderson

ASP.NET Core verwendet standardmäßig HTTPS. HTTPS basiert auf Zertifikaten für Vertrauensstellung, Identität und Verschlüsselung.

In diesem Dokument wird erläutert, wie Sie vordefinierte Containerimages mit HTTPS mithilfe der .NET-Befehlszeilenschnittstelle (CLI) ausführen. Anweisungen zum Ausführen von Docker in der Entwicklung mit Visual Studio finden Sie unter Entwickeln von ASP.NET Core Anwendungen mit Docker über HTTPS.

Für dieses Beispiel benötigen Sie den Docker-ClientDocker 17.06 oder höher.

Voraussetzungen

Das aktuelle .NET SDK.

Zertifikate

Ein Zertifikat von einer Zertifizierungsstelle ist für das Produktionshosting für eine Domäne erforderlich. Let's Encrypt ist eine Zertifizierungsstelle, die kostenlose Zertifikate anbietet.

In diesem Dokument werden selbstsignierte Entwicklungszertifikate zum Hosten vordefinierter Images über localhostverwendet. Die Anweisungen ähneln der Verwendung von Produktionszertifikaten. Das von dotnet dev-certs generierte Zertifikat ist nur für die Verwendung mit localhost und sollte nicht in einer Umgebung wie Kubernetes verwendet werden. Verwenden Sie zur Unterstützung von HTTPS in einem Kubernetes-Cluster die Tools von Verwalten von TLS-Zertifikaten in einem Cluster , um TLS in Pods einzurichten.

Verwenden Sie dotnet dev-certs , um selbstsignierte Zertifikate für Entwicklung und Tests zu erstellen.

Für Produktionszertifikate:

  • Das dotnet dev-certs Tool ist nicht erforderlich.
  • Zertifikate müssen nicht an dem in den Anweisungen verwendeten Speicherort gespeichert werden. Jeder Speicherort sollte funktionieren, obwohl das Speichern von Zertifikaten in Ihrem Standortverzeichnis nicht empfohlen wird.

Die anweisungen im folgenden Abschnitt volume mount certificates into containers using Docker's -v command-line option. Sie können Mit einem Befehl in einer COPYDockerfile-Datei Zertifikate zu Containerimages hinzufügen, dies wird jedoch nicht empfohlen. Das Kopieren von Zertifikaten in ein Image wird aus den folgenden Gründen nicht empfohlen:

  • Es ist schwierig, dasselbe Image für Tests mit Entwicklerzertifikaten zu verwenden.
  • Es ist schwierig, dasselbe Image für das Hosten mit Produktionszertifikaten zu verwenden.
  • Es besteht ein erhebliches Risiko der Zertifikatsoffenlegung.

Ausführen vordefinierter Containerimages mit HTTPS

Verwenden Sie die folgenden Anweisungen für ihre Betriebssystemkonfiguration.

Windows mit Linux-Containern

Generieren Sie ein Zertifikat, und konfigurieren Sie den lokalen Computer:

dotnet dev-certs https -ep %USERPROFILE%\.aspnet\https\aspnetapp.pfx -p <CREDENTIAL_PLACEHOLDER>
dotnet dev-certs https --trust

Ersetzen Sie <CREDENTIAL_PLACEHOLDER> in den obigen Befehlen durch ein Kennwort.

Führen Sie das Containerimage mit ASP.NET Core aus, die für HTTPS in einer Befehlsshell konfiguriert sind:

docker pull mcr.microsoft.com/dotnet/samples:aspnetapp
docker run --rm -it -p 8000:80 -p 8001:443 -e ASPNETCORE_URLS="https://+;http://+" -e ASPNETCORE_HTTPS_PORT=8001 -e ASPNETCORE_Kestrel__Certificates__Default__Password="<CREDENTIAL_PLACEHOLDER>" -e ASPNETCORE_Kestrel__Certificates__Default__Path=/https/aspnetapp.pfx -v %USERPROFILE%\.aspnet\https:/https/ mcr.microsoft.com/dotnet/samples:aspnetapp

Ersetzen Sie <CREDENTIAL_PLACEHOLDER> im obigen Code durch das Kennwort. Das Kennwort muss mit dem Kennwort übereinstimmen, das für das Zertifikat verwendet wird.

Ersetzen Sie bei Verwendung von PowerShell%USERPROFILE% durch $env:USERPROFILE.

Hinweis: Das Zertifikat muss in diesem Fall eine .pfx Datei sein. Die Verwendung einer .crt - oder .key -Datei mit oder ohne Kennwort wird mit dem Beispielcontainer nicht unterstützt. Wenn Sie beispielsweise eine .crt Datei angeben, gibt der Container möglicherweise Fehlermeldungen wie "Der Servermodus SSL muss ein Zertifikat mit dem zugeordneten privaten Schlüssel verwenden." zurück. Überprüfen Sie bei Verwendung von WSL den Bereitstellungspfad, um sicherzustellen, dass das Zertifikat ordnungsgemäß geladen wird.

macOS oder Linux

Generieren eines Zertifikats und Konfigurieren des lokalen Computers:

dotnet dev-certs https -ep ${HOME}/.aspnet/https/aspnetapp.pfx -p <CREDENTIAL_PLACEHOLDER>
dotnet dev-certs https --trust

dotnet dev-certs https --trust wird nur unter macOS und Windows unterstützt. Sie müssen Zertifikaten unter Linux auf die weise vertrauen, die von Ihrer Distribution unterstützt wird. Es ist wahrscheinlich, dass Sie dem Zertifikat in Ihrem Browser vertrauen müssen.

Ersetzen Sie <CREDENTIAL_PLACEHOLDER> in den obigen Befehlen durch ein Kennwort.

Führen Sie das Containerimage mit einer für HTTPS konfigurierten ASP.NET Core-Instanz aus:

docker pull mcr.microsoft.com/dotnet/samples:aspnetapp
docker run --rm -it -p 8000:80 -p 8001:443 -e ASPNETCORE_URLS="https://+;http://+" -e ASPNETCORE_HTTPS_PORT=8001 -e ASPNETCORE_Kestrel__Certificates__Default__Password="<CREDENTIAL_PLACEHOLDER>" -e ASPNETCORE_Kestrel__Certificates__Default__Path=/https/aspnetapp.pfx -v ${HOME}/.aspnet/https:/https/ mcr.microsoft.com/dotnet/samples:aspnetapp

Ersetzen Sie <CREDENTIAL_PLACEHOLDER> im obigen Code durch das Kennwort. Das Kennwort muss mit dem Kennwort übereinstimmen, das für das Zertifikat verwendet wird.

Windows mit Windows-Containern

Generieren eines Zertifikats und Konfigurieren des lokalen Computers:

dotnet dev-certs https -ep %USERPROFILE%\.aspnet\https\aspnetapp.pfx -p <CREDENTIAL_PLACEHOLDER>
dotnet dev-certs https --trust

Ersetzen Sie <CREDENTIAL_PLACEHOLDER> in den obigen Befehlen durch ein Kennwort. Ersetzen Sie bei Verwendung von PowerShell%USERPROFILE% durch $env:USERPROFILE.

Führen Sie das Containerimage mit einer für HTTPS konfigurierten ASP.NET Core-Instanz aus:

docker pull mcr.microsoft.com/dotnet/samples:aspnetapp
docker run --rm -it -p 8000:80 -p 8001:443 -e ASPNETCORE_URLS="https://+;http://+" -e ASPNETCORE_HTTPS_PORT=8001 -e ASPNETCORE_Kestrel__Certificates__Default__Password="<CREDENTIAL_PLACEHOLDER>" -e ASPNETCORE_Kestrel__Certificates__Default__Path=c:\https\aspnetapp.pfx -v %USERPROFILE%\.aspnet\https:C:\https\ --user ContainerAdministrator mcr.microsoft.com/dotnet/samples:aspnetapp

HINWEIS:<CREDENTIAL_PLACEHOLDER> ist ein Platzhalter für das Standardkennwort für Kestrel Zertifikate.

Das Kennwort muss mit dem Kennwort übereinstimmen, das für das Zertifikat verwendet wird. Ersetzen Sie bei Verwendung von PowerShell%USERPROFILE% durch $env:USERPROFILE.

Entwickeln von ASP.NET Core-Anwendungen mit Docker über HTTPS

Informationen und Beispiele zum Entwickeln von ASP.NET Core Anwendungen mit HTTPS in Docker-Containern finden Sie unter Entwickeln von ASP.NET Core Anwendungen mit Docker über HTTPS.

Weitere Informationen