生成docker开启TLS认证所需CA证书的SH脚本分享

已于 2024-07-31 00:18:53 修改
阅读量195 收藏 2
点赞数 6
文章标签: docker 容器 运维 bash https ssl
于 2024-04-25 11:14:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Akc_true/article/details/138183444
版权
本文提供了一个bash脚本,用于自定义私钥和CA证书的有效期,包括服务端和客户端证书的生成、管理以及与Docker集成,方便证书更新和安全管理。
摘要由CSDN通过智能技术生成

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

前言

提示:这里可以添加本文要记录的大概内容:

https://blog.csdn.net/u014776211/article/details/125581725

去年看了博主的文章,很受益,当时忘了改有效期,现在证书过期了很难受。于是简单归纳,写了个可以自定义过期时间的脚本,稍微优化了过程,原作者如不嫌弃可以copy过去贴一起,谨做一点微小的贡献。

代码如下(示例):

#!/bin/bash

# 生成随机数空文件
touch /root/.rnd
chmod 600 /root/.rnd
# 检查是否存在私钥文件,如果存在则询问用户是否需要重新生成
if [ -f "ca-key.pem" ]; then
    read -p "CA私钥ca-key.pem已存在,是否重新生成?(y/n)" recreate_ca_key_choice
    if [ "$recreate_ca_key_choice" = "y" ]; then
        openssl genrsa -aes256 -out ca-key.pem 4096
    else
      echo '跳过私钥生成'
    fi 
else
    openssl genrsa -aes256 -out ca-key.pem 4096
fi

# 根据私钥创建CA证书
read -p "创建CA证书,请输入有效期、私钥密码" ca_days
CADir=CATo$(date -d "$ca_days day" +%Y-%m-%d)
mkdir "$CADir"
openssl req -new -x509 -days $ca_days -key ca-key.pem -sha256 -out "$CADir/ca.pem"

# 创建服务端私钥
if [ -f "server-key.pem" ]; then
    read -p "服务端私钥server-key.pem已存在,是否重新生成?(y/n)" recreate_server_key_choice
    if [ "$recreate_server_key_choice" = "y" ]; then
        openssl genrsa -out server-key.pem 4096
    else 
      echo '跳过服务端私钥生成'
    fi
else
    openssl genrsa -out server-key.pem 4096
fi

# 创建服务端证书签名请求文件
read -p "创建服务端证书签名请求文件,请输入需签名的服务器IP" ipdir
openssl req -subj "/CN=$ipdir" -sha256 -new -key server-key.pem -out server.csr

# 配置白名单
echo subjectAltName = IP:$ipdir,IP:0.0.0.0 >> extfile-server.cnf

# 将Docker守护程序密钥的扩展使用属性设置为仅用于服务器身份验证
echo extendedKeyUsage = serverAuth >> extfile-server.cnf

# 创建CA证书签名好的服务端证书
read -p "创建服务端CA证书,请输入有效期、私钥密码" days
serverCADir=ServerCATo$(date -d "$days day" +%Y-%m-%d)
mkdir "$serverCADir"
openssl x509 -req -days $days -sha256 -in server.csr -CA $CADir/ca.pem -CAkey ca-key.pem -CAcreateserial -out "$serverCADir/server-cert.pem" -extfile extfile-server.cnf


# 创建客户端私钥
if [ -f "key.pem" ]; then
    read -p "客户端key.pem已存在,是否重新生成?(y/n)" recreate_client_key_choice
    if [ "$recreate_client_key_choice" = "y" ]; then
        openssl genrsa -out key.pem 4096
    else 
      echo '跳过客户端私钥生成'
    fi
else
    openssl genrsa -out key.pem 4096
fi

# 创建客户端证书签名请求文件
openssl req -subj '/CN=client' -new -key key.pem -out client.csr

# 要使密钥适合客户端身份验证,请创建扩展配置文件
echo extendedKeyUsage = clientAuth >> extfile-client.cnf


# 创建CA证书签名好的客户端证书
read -p "创建客户端CA证书,请输入有效期、私钥密码" client_days
clientCADir=ClientCATo$(date -d "$client_days day" +%Y-%m-%d)
mkdir "$clientCADir"
openssl x509 -req -days $client_days -sha256 -in client.csr -CA $CADir/ca.pem -CAkey ca-key.pem -CAcreateserial -out "$clientCADir/cert.pem" -extfile extfile-client.cnf

# 删除不需要的文件,两个证书签名请求
rm -v client.csr server.csr *.cnf

# 修改证书为只读权限保证证书安全
chmod -v 0400 ca-key.pem key.pem server-key.pem
chmod -v 0444 "$CADir/ca.pem" "$serverCADir/server-cert.pem" "$clientCADir/cert.pem"

# 归集服务器证书
read -p "是否需要归集服务器证书?(y/n)" copy_choice
if [ "$copy_choice" = "y" ]; then
    cp "$CADir/ca.pem"  /etc/docker/ && cp "$serverCADir/server-cert.pem" /etc/docker/  && cp server-key.pem /etc/docker/
fi
echo 执行结束!

20240731 增加随机数空文件生成逻辑;修复ca.pem路径问题

Akc_true
关注
  • 6
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
Docker - 通过脚本自动创建 Docker TLS 证书
简简单单Onlinezuozuo
10-16 4691
文章目录Docker - 通过脚本自动创建 Docker TLS 证书1、具体脚本2、修改配置为自己的配置3、客户端证书下载 Docker - 通过脚本自动创建 Docker TLS 证书 1、具体脚本 通过脚本一键生成Docker TLS证书 #!/bin/bash # ------------------------------------------------------------...
Docker启用TLS实现安全配置的步骤
09-29
生成所需TLS文件后,需要更新Docker守护进程的配置以使用这些证书。在Docker守护进程的配置文件(通常是`/etc/docker/daemon.json`)中添加以下内容: ```json { "tls": true, "tlscert": "/path/to/server....
【云原生】Docker 安全与CA证书生成
xnxqwzy的博客
03-26 1115
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
Docker基础系列之TLSCA认证
囚徒之困
04-01 1299
Docker TLSCA认证
centos7 docker配置TLS认证的远程端口的证书生成教程(shell脚本一键生成
新林的博客
05-16 5029
通过 TLS来进行远程访问。我们需要在远程 docker 服务器(运行 docker 守护进程的服务器)生成 CA 证书,服务器证书,服务器密钥,然后自签名,再颁发给需要连接远程 docker 容器的服务器 之前对生成dockertls证书的不是很理解,学习了一下,写了一个脚本直接生成docker需要的证书 在服务器上创建一个create_tls_certs.sh的文件,执行sh create_...
docker远程连接证书生成步骤
hjg719的博客
09-26 1212
docker证书生成步骤
ECS中Docker配置TLS和idea链接dokcer实践
jhyfugug的博客
11-03 277
Jmeter+influxdb+Grafana+Docker 初步实践
Docker 开启SSL证书加密远程链接
01-07
Docker 开启SSL证书加密远程链接1. 使用openssl 制作证书密钥1.1. 在服务器中新建目录/etc/docker,并切换到该目录下1.2. 创建根证书RSA私钥:1.3. 创建CA证书1.4. 创建服务端私钥1.5. 创建服务端签名请求证书文件...
docker部署rancher证书过期问题解决方案
04-24
Rancher在Docker容器中运行时,会自动生成一个有效期为一年的SSL证书。当这个证书过期后,所有依赖于该证书HTTPS通信,包括Kubernetes集群内部的服务,都会受到证书过期的影响,从而无法正常工作。 **异常信息** ...
auto-dockerserver-tls.sh
06-04
auto-dockerserver-tls.sh
docker配置tls (二) 生成tls脚本
lanwp5302的博客
04-25 1079
一、生成tls脚本 #!/usr/bin/env bash # ------------------------------------------------------------- # 自动创建 Docker TLS 证书 # ------------------------------------------------------------- :<<! author: la...
docker开启TLS远程访问 2376
lms99251的博客
07-18 1864
docker开启TLS远程访问的方法
docker 好用的加速器
xiaogg3678的专栏
08-07 282
docker 好用的加速器
docker 部署 mysql8
最新发布
 
08-07 215
连接时报错:2059 Authentication plugin ‘caching_sha2_password’ cannot be loaded。解决方式:更改配置文件恢复 MySQL8以前的校验规则,或者使用新版的navicat,或者使用MySQL8的Workbench连接数据库。MySQL8使用了新的密码校验规则 低版本的navicat可能无法连接mysql。
微服务实战系列之玩转Docker(九)
splendid_java的专栏
08-07 1392
伙伴们,立秋了,有何收获?每当节气更替之时,意味着半个月又过去了。“士别三日当刮目相待”,那就让心中的忖量,再多激几层浪。有梦想,必有回响。——碎碎念在博主的玩转docker系列中,前八回重在介绍docker的基础概念、核心机制、重要组成、原理以及相关实践过程。掌握了这些内容,我想各位盆友能够独立完成小型项目的部署了。可我们总是在前一个目标达成之时,期待再次“点火”,奔赴“星辰大海”。那么容器的大海又是啥?容器云呗。何谓容器云?简单理解是把一堆容器“组合”
docker 部署 RabbitMQ
 
08-07 227
docker 部署 RabbitMQ
Docker高级应用讲解
lssffy的博客
08-07 648
Docker是一种开源的容器化平台,用于自动化应用的部署、扩展和管理。虽然Docker的基本使用已经能够满足大多数开发和测试需求,但在生产环境中,往往需要更高级的特性和配置来确保系统的高可用性、安全性和性能。本篇文章将深入探讨Docker的高级应用,包括网络、存储、编排、安全、性能优化以及与CI/CD和Kubernetes的集成。自定义网络允许用户创建具有特定配置的网络,以满足复杂的网络需求。
DockerCompose中使用自定义网络的方式实现部署SpringBoot+Mysql+Redis
BADAO_LIUMANG_QIZHI的博客
08-07 1312
上面介绍了Docker中自定义网络的相关知识。如果项目使用Docker Compose编排,比如最近的例子,搭建Springboot项目并使其连接Mysql和redis,则如何通过自定义网络的方式实现。
docker运行sh脚本的命令
09-14
要在Docker中运行sh脚本,你可以使用以下命令: 1. 使用docker run命令并指定要运行的镜像以及要执行的脚本路径: ``` docker run -it --rm <镜像名称> sh <脚本路径> ``` 例如,如果你要在一个名为test的容器...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值