Как доверять самоподписанному TLS-сертификату LXD-демона в Vagrant?

Вопрос или проблема

$ curl --insecure https://127.0.0.1:8443
{"type":"sync","status":"Success","status_code":200,"operation":"","error_code":0,"error":"","metadata":["/1.0"]}

$ vagrant up
Провайдер не смог аутентифицироваться на демоне LXD по адресу https://127.0.0.1:8443.

Возможно, вам нужно настроить LXD для разрешения запросов с этой машины. Самый
простой способ сделать это — добавить сертификат клиента LXC в список доверенных
сертификатов LXD. Обычно это можно сделать с помощью следующей команды:

    $ lxc config trust add /home/username/.config/lxc/client.crt

Вы можете найти больше информации о настройке LXD по адресу:

    https://linuxcontainers.org/lxd/getting-started-cli/#initial-configuration

openssl req -x509 -newkey rsa:2048 -keyout ~/.config/lxc/client.key -nodes -out ~/.config/lxc/client.crt -subj "/CN=lxd.local"
lxc config trust add ~/.config/lxc/client.crt

openssl s_client -connect 127.0.0.1:8443

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

Ответ или решение

Чтобы решить проблему с доверием самоподписанного TLS-сертификата LXD-демона в Vagrant, необходимо предпринять ряд шагов, которые позволят корректно взаимодействовать с LXD. В данном случае, проблема связана с тем, что Vagrant не может аутентифицировать соединение с LXD-демоном из-за отсутствия доверенного сертификата. Описанные действия помогут разрешить эту ситуацию.

Шаги по доверительной настройке LXD-демона:

1. Создание самоподписанного сертификата клиента:
   Начните с создания сертификата с помощью OpenSSL. Введите следующую команду в терминале:

   openssl req -x509 -newkey rsa:2048 -keyout ~/.config/lxc/client.key -nodes -out ~/.config/lxc/client.crt -subj "/CN=lxd.local"

   Эта команда создаст новую пару ключей и сертификат клиентской стороны, который будет использован для аутентификации с LXD-демоном.

2. Добавление сертификата клиента в доверенные сертификаты LXD:
   После генерации сертификата клиентской стороны, его необходимо добавить в список доверенных сертификатов LXD:

   lxc config trust add ~/.config/lxc/client.crt

   Этот шаг критически важен, поскольку он позволяет LXD распознавать ваш клиентский сертификат как доверенный.

3. Получение текущего сертификата сервера (опционально):
   Для проверки текущего сертификата сервера вы можете использовать OpenSSL:

   openssl s_client -connect 127.0.0.1:8443

   Полученный сертификат нужно скопировать, начиная с строки -----BEGIN CERTIFICATE----- и заканчивая -----END CERTIFICATE-----.

4. Проверка работы:
   После выполнения предыдущих шагов, повторите команду vagrant up. Если все было сделано правильно, Vagrant должен успешно аутентифицировать соединение и запустить контейнер.

Можно ли использовать Unix-сокеты вместо HTTPS?

Да, альтернатива использованию HTTPS для взаимодействия с LXD — переход на использование Unix-сокетов. Это позволяет избежать проблем с сертификатами, так как Unix-сокеты используют локальные системные механизмы аутентификации. Однако это будет работать только если ваш сценарий использует исключительно локальные ресурсы.

Эти шаги позволят вам легко интегрировать Vagrant с LXD, используя корректные конфигурации и доверительные отношения. Доверие самоподписанным сертификатам — стандартная практика при работе в локальных или тестовых средах, особенно когда контроль над всеми аспектами связи находится в вашем распоряжении.