从聊天/评论中出现的解决方案：

• 在某个静态 URL 上发布信任库应该是什么的压缩包——您可以在方便时更新它。
• 对于此 URL 上的 TLS 证书，请使用 docker 容器将在其默认配置中信任的证书——来自公开信任的 CA 或私有根 CA，为此您手动添加到 docker 模板。我们称其为引导 CA。

您需要将引导 CA 证书放在哪里取决于您获取 tarball 的方式。例如，使用卷曲：

$ curl -O https://my.server/docker_root_cas.pem --cacert [file]

由于 CA 证书是公共信息，只需将 CA 证书放在文件系统上的任何位置（当然要确保攻击者无法在启动前修改它。但如果这是真的，你会有更大的问题......）

您现在已经安全地获取了受信任的 CA 证书列表。这也导致了一种简单的更新机制，让容器定期从这个 URL 或从一个受 TLS 证书保护的列表中再次拉出列表，该证书链接到您刚刚导入的 CA 之一。

安全注意事项

• 需要保护 docker 映像免受攻击者用他们自己的替换引导 CA 文件。
• 托管 tarball 的服务器成为一个大目标，所以要好好加固它。如果你有一个更新机制，容器会继续定期提取更新的信任存储，因为现在对 tarball 服务器的妥协将一举危及所有新的和所有现有的容器。

我得出的结论非常适合我们的需求，我想将其作为我自己问题的答案。我们已经实现了一个 shell 脚本，我们将其注入到可以通过环境变量启用和配置的容器中。该脚本的作用是下载所有受信任的 CA 证书（以及用于开发目的的自签名证书）的 tar 球或 zip，以在 docker 容器启动时安装。这样做是允许我们创建一个可以在任何地方部署的容器，而无需将证书烘焙到容器中。此外，这增加了解决证书和 CRL 分发问题的好处。

我有这个工作的概念证明，它工作得非常好。对于那些支持 DoD 和 IC 的人来说，这还有一个额外的优势，因为受信任网络的批准证书和 CRL 已经维护并发布在网络上，这样您就可以将此脚本直接指向这些官方 tar 球以分发您的证书和 CRL .

我在我们的容器中使用 supervisord 并且已将所有 [program] 配置为不自动启动，但 bootstrap.sh 除外，它首先运行证书安装脚本，然后使用 supervisorctl start [program] 启动 supverisord.conf 中定义的程序. 其中 bootstrap.sh 是 supervisord.conf 中唯一自动启动的程序。这可确保证书在其他任何事情开始之前就位。

对于那些希望实施类似解决方案的人来说，一个细节可能是必不可少的。我们还可以选择将证书作为环境变量传递到容器中，仅用于信任也通过环境变量注入的证书 tar 球 URL。这解决了需要新证书才能获得证书 tar 球的潜在 Catch 22。

我希望这个答案不会迟到！一个用于管理解决方案secrets的cloud native世界是使用库。Vault 所做的是以安全的方式安全地保留任何称为秘密的东西，例如加密密钥、API 密钥、x509 证书，从而允许机器与机器之间通过 API 调用进行通信。根据此链接，Vault 可以管理 x.509 证书，有可能部署的详细说明。密钥管理的几个方面是可能的，例如启用、更改和撤销。Vault 与 docker 容器和 kubernetes 兼容，事实上它也得到了促进云原生运动的领先组织Cloud Native Foundation (CNCF) 的推荐。