你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
在适用于 AKS 的 Azure Linux 容器主机上安装证书
默认情况下,适用于 AKS 的 Azure Linux 容器主机映像包含一组最基本的根证书,用于信任某些 Microsoft 资源,例如 packages.microsoft.com
。 并不是所有 Microsoft 证书都会自动包含在映像中,这与最低特权原则一致,这样做提供了灵活性,让用户能够只选择需要的根证书,还可以自定义映像。
ca-certificates-base
映像已预安装在容器主机映像中,其中包含一小部分 Microsoft 拥有的 CA 的证书。 它由来自 Microsoft 根 CA 和中间 CA 的证书组成。 使用此包,容器主机可信任一组最少的服务器,所有这些服务器都经过了验证,并拥有由 Microsoft 颁发的证书。
ca-certificates
包含 Microsoft 通过 Microsoft 受信任根计划信任的根 CA。
目录 /etc/pki/ca-trust/source/
包含 PEM 文件格式的 CA 证书和信任设置。 在此处找到的信任设置具有高优先级,高于在 /usr/share/pki/ca-trust-source/
中找到的信任设置。
有关适用于 AKS 的 Azure Linux 容器主机映像认证的详细信息,请参阅 GitHub 文档。
添加 PEM 或 DER 文件格式的证书
可以将单个证书或多个证书添加到适用于 AKS 的 Azure Linux 容器主机映像中。 若要将简单的 PEM 或 DER 文件格式的证书添加到系统上受信任的 CA 列表中,请执行以下步骤:
- 将证书保存到
etc/pki/ca-trust/source/anchors/
。 - 运行
update-ca-trust
,以合并 CA 证书和关联的信任。
添加采用扩展的 BEGIN TRUSTED 文件格式的证书
如果证书采用扩展的 BEGIN TRUSTED 文件格式(可能包含不信任标志或用于 TLS 以外用途的信任标志),请执行以下步骤:
- 将证书保存到
etc/pki/ca-trust/source/
。 - 运行
update-ca-trust
,以合并 CA 证书和关联的信任。
后续步骤
- 详细了解 Azure Linux 容器主机核心概念。
- 按照我们的教程部署、管理和更新应用程序。
- 通过使用 Azure CLI 创建适用于 AKS 的 Azure Linux 容器主机群集入门。