italia/cie-cns-apache-docker Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
italia/cie-cns-apache-dockeritalia
基于Apache HTTP 2.4的Docker镜像,提供即用型模板,实现通过TS-CNS(健康卡-国家服务卡)和CIE(电子身份证)的双向SSL/TLS认证系统,支持自动更新可信CA证书,用户可根据需求定制。
3 次收藏下载次数: 0状态:社区镜像维护者:italia仓库类型:镜像最近更新:10 个月前
Apache HTTP 2.4 用于TS-CNS和CIE的双向认证系统
概述
本项目旨在提供一个基于Apache HTTP 2.4的即用型模板,实现通过智能卡TS-CNS(健康卡-国家服务卡) 和CIE(电子身份证) 的认证系统。用户可根据自身需求修改或定制该项目。
这是一个Docker项目,用于创建实现SSL/TLS双向认证机制的容器。该认证机制要求客户端提供数字证书,而此处的证书存储在TS-CNS或CIE中。系统支持两种认证方式:
- TS-CNS(健康卡-国家服务卡):由所属大区发放;
- CIE(电子身份证):由居住地所在市政当局发放。
核心功能与特性
核心功能
- 双向SSL/TLS认证:验证服务器证书的同时,要求客户端提供TS-CNS或CIE中的数字证书。
- 自动更新可信CA证书:每日自动下载并更新意大利***授权的CA证书,确保认证有效性。
- OCSP Stapling支持:优化证书状态验证,减少客户端与CA的直接通信,提升隐私性和性能。
- 灵活配置:通过环境变量自定义Apache服务器名称、端口、日志级别等参数。
- 测试页面:包含PHP脚本,用于展示认证后的证书信息及策略检查结果。
技术特性
- 基于Ubuntu 18.04构建,包含Apache HTTP 2.4和PHP 7。
- 支持通过Cron任务每日更新可信CA证书(默认23:30执行)。
- 证书策略检查:验证证书是否包含TS-CNS(OID: 1.3.76.16.2.1)和CIE(OID: 1.3.76.47.4)的特定证书策略。
- 完整的Apache配置模板,包含SSL参数、虚拟主机及重定向规则。
使用场景与适用范围
- ***服务平台:需要通过TS-CNS或CIE对公民进行身份认证的在线服务。
- 区域服务系统:如各大区的TS-CNS服务门户(如拉齐奥大区[***]
- 市政电子服务:支持CIE认证的市政在线服务(参考内政部电子身份证市政覆盖页面)。
- 企业内部系统:需使用意大利官方数字身份进行员工或用户认证的场景。
使用方法与配置说明
镜像获取
镜像已发布至Docker Hub,可通过以下命令拉取:
bash# 拉取最新版本 docker pull amusarra/cie-cns-apache-httpd # 拉取特定版本(如1.3.3) docker pull amusarra/cie-cns-apache-httpd:1.3.3
快速启动
基本运行命令
bashdocker run -d -p ***:*** --name=cie-cns amusarra/cie-cns-apache-httpd:1.3.3
自定义配置运行
通过环境变量自定义配置:
bashdocker run -d \ -p 443:*** \ --name=cie-cns \ -e APACHE_SERVER_NAME=mycns.example.com \ -e APACHE_SSL_PORT=443 \ -e APACHE_LOG_LEVEL=debug \ amusarra/cie-cns-apache-httpd:1.3.3
环境变量配置
| 环境变量 | 描述 | 默认值 |
|---|---|---|
APACHE_SERVER_NAME | Apache服务器名称 | cns.dontesta.it |
APACHE_SERVER_ADMIN | 管理员*** | *** |
APACHE_SSL_CERTS | 服务器公钥证书文件名(PEM格式) | cns-dontesta-it_crt.pem |
APACHE_SSL_PRIVATE | 服务器私钥文件名(PEM格式) | cns-dontesta-it_key.pem |
APACHE_SSL_PORT | SSL监听端口 | *** |
APACHE_LOG_LEVEL | Apache全局日志级别 | info |
APACHE_SSL_LOG_LEVEL | SSL模块日志级别 | info |
APACHE_SSL_VERIFY_CLIENT | 客户端证书验证模式 | optional |
APPLICATION_URL | 应用重定向URL | [***]{APACHE_SERVER_NAME}:${APACHE_SSL_PORT} |
CLIENT_VERIFY_LANDING_PAGE | 验证失败跳转页面 | /error.php |
GOV_TRUST_CERTS_SERVICE_TYPE_IDENTIFIER | 可信CA服务类型标识符 | [***] |
目录结构
项目主要目录结构如下,核心配置位于configs目录:
├── Dockerfile ├── configs │ ├── certs # 服务器证书(公钥和私钥) │ ├── httpd # Apache配置文件(虚拟主机、端口、SSL参数等) │ └── www # PHP测试脚本 └── scripts # 证书更新脚本和入口点脚本
本地构建与测试
- 克隆项目仓库后,进入项目根目录执行构建:
bashdocker build -t cie-cns-apache-httpd .
- 运行本地构建的镜像:
bashdocker run -d -p ***:*** --name=cie-cns-test cie-cns-apache-httpd:latest
- 配置本地hosts文件(避免证书域名错误):
127.0.0.1 cns.dontesta.it
- 通过浏览器访问测试:
[***],插入TS-CNS或CIE并完成PIN码输入和证书选择,验证认证流程。
OCSP Stapling说明
概述
OCSP Stapling(OCSP装订)是一种SSL/TLS扩展,允许服务器在TLS握手时主动提供证书状态信息(由CA的OCSP响应器生成),避免客户端直接向CA查询,提升隐私性和性能。
配置示例
本项目中已启用OCSP Stapling,相关配置如下:
apacheSSLUseStapling on SSLStaplingCache "shmcb:logs/stapling-cache(***)"
验证方法
使用openssl命令验证OCSP Stapling是否生效:
bashecho QUIT | openssl s_client -connect cns.dontesta.it:*** -status 2> /dev/null | grep -A 17 'OCSP response:'
若返回包含“Cert Status: good”的OCSP响应,则配置成功。
优缺点
优点:
- 减少客户端与CA的通信,提升隐私性;
- 降低证书状态查询延迟,优化用户体验;
- 减轻CA服务器负载,提升系统稳定性。
缺点:
- 依赖服务器定期获取OCSP响应,若响应过期可能导致验证失败;
- 配置复杂度略高于传统CRL方式。
证书自动更新
容器内置每日自动更新可信CA证书的机制,通过Cron任务在每日23:30执行更新脚本,确保TS-CNS和CIE的根证书及中间证书始终最新。日志输出至/var/log/cron.log。
认证流程测试
- 插入TS-CNS/CIE:将智能卡插入读卡器,确保驱动正常。
- 访问服务URL:浏览器访问
[***]。 - 输入PIN码:系统提示输入智能卡PIN码(图1)。
- 选择证书:从弹出的证书列表中选择用于认证的数字证书(图2)。
- 验证结果:
- 成功:显示包含证书信息的欢迎页面(图3、图4);
- 失败:显示证书策略检查失败(图5)或证书验证错误(图6)。
参考资料
- Apache HTTP Server 2.4文档
- 意大利数字局CNS技术文档
- 内政部CIE市政覆盖信息
- OCSP Stapling配置指南
docker/dockerfile
Docker 官方工具与组件镜像
这些是官方提供的Dockerfile前端镜像,主要功能是支持通过BuildKit构建Dockerfile,作为构建流程中的关键前端工具,能够有效配合BuildKit提升Dockerfile的构建效率、安全性与灵活性,为开发者提供官方认可的标准化构建方案,适用于各类基于Docker的应用开发与部署场景,确保构建过程的稳定可靠及操作便捷性。
125 次收藏5亿+ 次下载
2 天前更新
docker/dockerfile-copy
Docker 官方工具与组件镜像
此Docker镜像已被弃用。
1 次收藏5000万+ 次下载
7 年前更新
apache/airflow
Apache 软件基金会镜像
Apache Airflow是一个开源的工作流编排平台,旨在通过编程方式(主要使用Python)定义、调度和监控复杂工作流,它以有向无环图(DAG)形式管理任务依赖关系,支持灵活的调度策略(如基于时间、事件或依赖),提供直观的Web界面用于任务状态监控与管理,具备高度可扩展性,可集成多种数据处理工具、云服务及外部系统,广泛应用于数据管道构建、ETL流程自动化、机器学习工作流编排等场景,帮助用户高效管理和执行复杂的任务流程。
625 次收藏10亿+ 次下载
5 天前更新
docker/docker-model-backend-llamacpp
Docker 官方工具与组件镜像
暂无描述
1 次收藏5000万+ 次下载
16 天前更新
apache/superset
Apache 软件基金会镜像
Apache Superset是一款开源的数据可视化与数据探索平台,它支持连接多种数据源,允许用户通过直观界面创建交互式仪表盘、图表及报告,无需复杂编程即可进行数据查询与分析,适用于从非技术人员到数据工程师的各类用户,帮助团队高效洞察数据价值,是企业级数据驱动决策的强大工具。
321 次收藏5亿+ 次下载
1 天前更新
docker/docker-mcp-cli-desktop-module
Docker 官方工具与组件镜像
暂无描述
500万+ 次下载
20 天前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"