Docker基础系列之TLS和CA认证

已于 2024-05-08 20:34:54 修改
阅读量1k 收藏 24
点赞数 28
分类专栏: Docker 文章标签: docker
于 2024-04-01 14:29:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CSDN_LJK/article/details/137231976
版权

Docker基础系列之TLS和CA认证

文章目录

1. 引言

我们日常工作当中会遇到这些需求:

  • 监控Docker容器
  • 在idea开发工具中连接Docker,直接发布至服务器
  • Jenkins连接Docker

为了更便捷地连接Docker服务器,Docker服务器需要开放2375端口才能连接docker,但如果开放了端口没有做任何安全保护,会引起安全漏洞,被人入侵、挖矿、CPU飙升这些情况都有发生,任何知道你IP的人,都可以管理这台主机上的容器和镜像,非常不安全,这个时候TLS和CA就闪亮登场。。。

2. 初识TLS和CA

Docker TLS(Transport Layer Security)和 CA(Certificate Authority)是用于加密和认证 Docker 守护进程与客户端之间通信的一种机制。

  1. TLS(Transport Layer Security)

    • TLS 是一种加密通信协议,用于确保通信过程中的数据传输安全。
    • 在 Docker 中,TLS 可以用于加密 Docker 守护进程与客户端(如 Docker CLI、Docker Compose 等)之间的通信,以防止数据在传输过程中被窃取或篡改。

  2. CA(Certificate Authority)

    • CA 是证书颁发机构的缩写,负责签发和管理数字证书。
    • 在使用 TLS 加密通信时,CA 用于签发和管理用于认证通信双方身份的数字证书。
    • 在 Docker 中,CA 通常会签发 Docker 守护进程和客户端之间通信所需的数字证书,用于认证双方的身份,确保通信的安全性。

在配置 Docker TLS 时,通常会生成一组证书和私钥,并使用 CA 签名这些证书,然后将这些证书分发给 Docker 守护进程和客户端。客户端使用证书与私钥来进行身份验证,而 Docker 守护进程使用 CA 颁发的证书验证客户端的身份。这样就建立了一种安全的通信机制,确保 Docker 守护进程与客户端之间的通信是加密的、受信任的。

3. 开启TLS和CA认证

3.1 生成证书

  • 生成CA证书的shell脚本

创建证书存放目录

# /mydata/cert/docker这个目录改了下面相关都得改 自己替换 

mkdir -p /mydata/cert/script /mydata/cert/docker #cert文件目录

查看服务器主机名

hostname

创建脚本文件

vim /mydata/cert/script/auto-cert.sh   #编辑脚本

脚本命令如下:

#!/bin/bash

# 一键生成TLS和CA证书

# Create : 2024-03-27
# Update : 2024-03-27
# @Autor : xiaomuchong

# 服务器主机名
SERVER="Docker110"
# 密码
PASSWORD="xmc@2011"
# 国家
COUNTRY="CN"
# 省份
STATE="四川省"
# 城市
CITY="成都市"
# 机构名称
ORGANIZATION="佳缘科技"
# 机构单位
ORGANIZATIONAL_UNIT="医疗事业部"
# 邮箱
EMAIL="17501123@qq.com"
# 创建ca证书目录
mkdir -p /mydata/cert/docker
# 进入ca证书目录
cd /mydata/cert/docker

# 生成CA密钥
openssl genrsa -aes256 -passout pass:$PASSWORD  -out ca.pem 2048

# 生成CA证书
openssl req -new -x509 -passin "pass:$PASSWORD" -days 3650 -key ca.pem -sha256 -out ca-cert.pem -subj "/C=$COUNTRY/ST=$STATE/L=$CITY/O=$ORGANIZATION/OU=$ORGANIZATIONAL_UNIT/CN=$SERVER/emailAddress=$EMAIL"

# 生成服务端密钥
openssl genrsa -out server-key.pem 2048

# 生成服务端证书签名的请求文件
openssl req -subj "/CN=$SERVER" -new -key server-key.pem -out server-req.csr

# 生成服务端证书
openssl x509 -req -days 3650 -in server-req.csr -CA ca-cert.pem -CAkey ca.pem -passin "pass:$PASSWORD" -CAcreateserial -out server-cert.pem

# 生成客户端密钥
openssl genrsa -out key.pem 2048

# 生成客户端证书签名的请求文件
openssl req -subj '/CN=client' -new -key key.pem -out client-req.csr

# 生成客户端证书
sh -c 'echo "extendedKeyUsage=clientAuth" >> extfile.cnf'
openssl x509 -req -days 3650 -in client-req.csr -CA ca-cert.pem -CAkey ca.pem  -passin "pass:$PASSWORD" -CAcreateserial -out cert.pem -extfile extfile.cnf

# 更改密钥权限
chmod 0400 ca.pem server-key.pem key.pem
# 更改证书权限
chmod 0444 ca-cert.pem server-cert.pem cert.pem
# 删除无用文件
rm ca-cert.srl client-req.csr server-req.csr extfile.cnf

加入脚本命令保存

  • 赋予执行权限
chmod +x auto-cert.sh
  • 执行
./auto-cert.sh
  • 生成的文件说明
ca.srl:CA签发证书的序列号记录文件
ca-key.pem:CA密钥
ca.pem:CA证书

server-req.csr:服务端证书签名请求文件
server-key.pem:服务端密钥
server-cert.pem:服务端证书

client-req.csr:客户端证书签名请求文件
extfile.cnf:客户端证书扩展配置文件
key.pem:客户端密钥
cert.pem:客户端证书
  • 另外还可以采用交互式shell脚本生成证书(上述两种方式任选其一),脚本如下:
#!/bin/bash 
if [ -z $1 ];then
echo '请输入服务器ip'
exit 0
fi
HOST=$1
# 创建证书存放目录
mkdir -p /mydata/cert/docker
cd /mydata/cert/docker

# 生成CA密钥
openssl genrsa -aes256 -out ca-key.pem 4096
# 生成CA证书
openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem

# 生成服务端密钥
openssl genrsa -out server-key.pem 4096
# 生成服务端证书签名的请求文件
openssl req -subj "/CN=$HOST" -sha256 -new -key server-key.pem -out server.csr
# 配置白名单,推荐配置0.0.0.0,允许所有IP连接但只有证书才可以连接成功
echo subjectAltName = DNS:$HOST,IP:$HOST,IP:0.0.0.0,IP:127.0.0.1 > extfile.cnf
# 生成服务端证书
openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf

# 生成客户端密钥
openssl genrsa -out key.pem 4096
# 生成客户端证书签名的请求文件
openssl req -subj '/CN=client' -new -key key.pem -out client.csr
echo extendedKeyUsage = clientAuth > extfile.cnf
# 生成客户端证书
openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf

# 更改密钥权限
chmod -v 0400 ca-key.pem key.pem server-key.pem
# 更改证书权限
chmod -v 0444 ca.pem server-cert.pem cert.pem

# 删除无用文件
rm -v client.csr server.csr

3.2 配置TLS

# 编辑文件(有的在这个位置:/usr/lib/systemd/system/docker.service)
vim /etc/systemd/system/docker.service

# 修改内容,注意证书的指定位置
ExecStart=/usr/bin/dockerd \
--tlsverify \
--tlscacert=/mydata/cert/docker/ca-cert.pem \
--tlscert=/mydata/cert/docker/server-cert.pem \
--tlskey=/mydata/cert/docker/server-key.pem \
-H unix:///var/run/docker.sock \
-H tcp://0.0.0.0:2375

# 重启服务
systemctl daemon-reload && systemctl restart docker

/etc/systemd/system/docker.service/usr/lib/systemd/system/docker.service 都是 Docker 服务的 systemd 单元文件,但它们的作用和使用方式略有不同:

  1. /etc/systemd/system/docker.service:

    • 这个路径下的文件是系统管理员或用户自定义的 systemd 单元文件,通常用于覆盖默认的 Docker 服务配置。
    • 系统管理员或用户可以在此文件中定义自己的 Docker 服务配置,如修改默认的启动参数、环境变量等。
    • 当存在 /etc/systemd/system/docker.service 文件时,系统会优先使用该文件中定义的配置启动 Docker 服务,而不是使用默认的 /usr/lib/systemd/system/docker.service 文件。
    • 这种方式允许用户在不修改系统提供的默认配置的情况下,自定义 Docker 服务的行为。

  2. /usr/lib/systemd/system/docker.service:

    • 这个路径下的文件是 Docker 软件包提供的默认 systemd 单元文件,用于定义 Docker 服务的启动参数、环境变量等默认配置。
    • 这个文件通常由 Docker 软件包安装程序提供,并且在安装 Docker 软件包时会自动创建。
    • 如果系统中不存在 /etc/systemd/system/docker.service 文件,那么 Docker 服务会使用这个默认的 systemd 单元文件进行启动。
    • 一般情况下,不建议直接修改这个文件,因为它可能会在 Docker 软件包的升级过程中被覆盖或修改。

总体来说,/etc/systemd/system/docker.service 文件用于用户自定义 Docker 服务的配置,而 /usr/lib/systemd/system/docker.service 文件是 Docker 软件包提供的默认配置文件。

4. 参考和感谢

Docker开启TLS和CA认证, 解决暴露2375端口引发的安全漏洞, 并使用idea连接并推送镜像

Docker开启TLS和CA认证

为什么要做囚徒
关注
  • 28
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于docker安全之Docker-TLS加密通讯问题
01-20
一、docker存在的安全问题 docker自身漏洞 作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录Docker历史版本共有超过20项漏洞。黑客常用的攻击手段主要有代码执行、权限提升、 信息泄露、权限绕过等。目前 Docker 版本更迭非常快,Docker 用户最好将 Docker 升级为 最新版本。 docker源码问题 Docker 提供了 Docker hub,可以让用户上传创建的镜像,以便其他用户下载,快速搭 建环境。但同时也带来了一些安全问题。 例如下面三种方式: (1)黑客上传恶意镜像 如果有黑客在制作的镜像中植入木马、后门等恶意软件,那么环境从一开始就已经不安
Docker启用TLS实现安全配置的步骤
01-10
前言 之前开启了docker的2375 Remote API,接到公司安全部门的要求,需要启用授权,翻了下官方文档 Protect the Docker daemon socket 启用TLSdocker服务器,生成CA私有和公共密钥 $ openssl genrsa -aes256 -out ca-key.pem 4096 Generating RSA private key, 4096 bit long modulus ..................................................................................
DockerTLS 认证
记录了,但是完全不会。
07-05 567
使用脚本快速创建TLS证书并部署到Docker服务,解决2375端口引发的安全漏洞。
Docker启用TLS进行安全连接
心若有所向往,何惧道阻且长。
02-06 310
Docker启用TLS进行安全连接
docker部署rancher证书过期问题解决方案
04-24
docker部署rancher证书过期问题解决方案,网上有挺多解决方案,基本都是一部分一部分的,不连续
Docker存在的安全问题,如何解决?
weixin_42449832的博客
03-17 1276
文章目录一、Docker 容器与虚拟机的详细区别二、Docker 存在的安全问题2.1 Docker 自身漏洞2.2 Docker 源码问题三、Docker 架构缺陷与安全机制四、Docker 安全基线标准4.1 内核级别4.2 主机级别4.3 网络级别4.4 镜像级别4.5 容器级别4.6 其他设置五、Docker 远程调用与流量限制5.1 Docker remote api 访问控制5.2 限制流量流向六、容器最小化与镜像安全6.1 容器最小化6.2 镜像安全 一、Docker 容器与虚拟机的详细区别
docker生成ssl证书(按步骤来即可,真实可用)
guochengabcd的博客
09-06 2115
docker生成证书
docker添加证书认证
u010826341的博客
04-28 2915
docker添加证书认证
docker安装nginx并配置ssl证书
LuoHuaX的博客
10-14 7230
docker安装nginx并配置ssl证书
【云原生】Docker 安全与CA证书生成
X2683933654的博客
02-21 1498
注:由于 20.10.9 版本的 docker 客户端用的 go 版本是 go1.16.8,而 go1.15 以后的版本不支持私有 CA 生成的证书,所以这里 docker 客户端仍使用 docker-ce-cli-20.10.5-3.el7.x86_64 安装的版本。容器的安全性问题的根源在于容器和宿主机共享内核。尽量以资源限制的方式运行容器 -m --memory-swap --cpu-quota --cpu-shares --cpuset-cpus --device-write-bps。
docker-kubernetes-tls-guide:关于如何使用TLS和CloudFlare的CFSSL来保护Docker和Kubernetes的循序渐进指南
05-17
Docker和Kubernetes TLS指南 本指南将引导您为Docker和Kubernetes设置TLSTLS证书客户端身份验证。 安装CFSSL 保护Docker和Kubernetes的第一步是建立一个用于管理TLS证书的PKI基础架构。 审查和自定义CSR CFSSL工具采用各种JSON配置文件来初始化CA并生成证书。 克隆此仓库并查看当前的配置集,并根据您的环境进行调整。 $ git clone https://github.com/kelseyhightower/docker-kubernetes-tls-guide.git 初始化CA 在生成任何证书之前,我们需要初始化CA。 $ cfssl gencert -initca ca-csr.json | cfssljson -bare ca 码头工人 可以来Docker守护程序,但是我们将不使用openssl工具
使用TLS加密通讯远程连接Docker的示例详解
01-20
默认情况下,Docker 通过非联网 UNIX 套接字运行。它还可以使用 HTTP 套接字进行可选通信。 如果需要以安全的方式通过网络访问 Docker,可以通过指定标志将 Docker 标志指向受信任的 CA 证书来启用 TLS。 在守护程序模式下,它只允许来自由该 CA 签名的证书验证的客户端的连接。在客户端模式下,它仅连接到具有该 CA 签名的证书的服务器。 # 创建CA证书目录 [root@localhost ~]# mkdir tls [root@localhost ~]# cd tls/ # 创建CA密钥 [root@localhost tls]# openssl genrsa
Fabric-CA-1.1服务(docker服务)
07-16
1. Fabric版本1.1 2. Docker方式启动 3. TLS证书服务 4. CA证书服务
使用Docker创建Let‘s Encrypt SSL证书
最新发布
baidu_39340547的博客
03-21 2203
如果你的网站还在非https下裸奔,那你肯定out了,过去SSL证书价格昂贵,但今天我们很幸运Let‘s Encrypt为我们提供了免费的证书服务,本文主要介绍如何利用docker-compose运行certbot免污染主机环境的申请SSL证书、Nginx下证书的安装以及证书更新。
通信安全—docker建立客户端与服务端TLS证书连接
清晨@暖阳
08-08 583
通信安全—docker建立客户端与服务端TLS证书连接一、TLS证书的作用二、创建证书1、创建目录2、创建私钥3、创建证书4、创建扩展配置文件三、签署证书四、Docker中配置TLS证书五、测试 一、TLS证书的作用 在远程上调用Docker时,若没有设置TLS证书,那么docker能被所有人调用,而TLS的作用就是限制指定的主机对Docker进行远程调用,从而保证docker的安全。 二、创建证书 使用openssl来创建CA,并签署秘钥/证书。 1、创建目录 首先创建一个certs目录,并
docker 生成TLS认证证书
martin_violet的博客
04-14 2167
docker ssl TSL 证书
DockerTLS认证
qq_27858615的博客
07-28 1407
dockerTLS认证
docker远程连接证书生成步骤
hjg719的博客
09-26 1123
docker证书生成步骤
DockerTLS配置文档
08-12
您好!以下是DockerTLS配置文档: 1. 首先,确保您已经安装了Docker。如果没有安装,请参考Docker官方文档进行安装。 2. 生成TLS证书和密钥: - 创建一个用于存储证书和密钥的目录,例如 `/etc/docker/certs.d`。 - 使用以下命令生成CA证书和私钥: ``` $ openssl genrsa -aes256 -out ca-key.pem 4096 $ openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem ``` - 使用以下命令生成服务器证书和私钥: ``` $ openssl genrsa -out server-key.pem 4096 ***.pem -out server.csr $ echo subjectAltName = IP:<your-server-ip>,IP:127.0.0.1 > extfile.cnf $ openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf ``` - 使用以下命令生成客户端证书和私钥: ``` $ openssl genrsa -out key.pem 4096 *** $ echo extendedKeyUsage = clientAuth > extfile-client.cnf $ openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile-client.cnf ``` 3. 配置Docker守护进程: - 编辑或创建 `/etc/docker/daemon.json` 文件,并添加以下内容: ``` { "tls": true, "tlscacert": "/etc/docker/certs.d/ca.pem", "tlscert": "/etc/docker/certs.d/server-cert.pem", "tlskey": "/etc/docker/certs.d/server-key.pem", "tlsverify": true } ``` - 重新启动Docker守护进程,使配置生效。 4. 配置Docker客户端: - 将客户端证书和密钥复制到客户端机器上的适当位置,例如 `/etc/docker/certs.d/client.pem` 和 `/etc/docker/certs.d/key.pem`。 - 设置环境变量 `DOCKER_TLS_VERIFY` 为 `1`。 - 设置环境变量 `DOCKER_CERT_PATH` 为证书和密钥的存储路径,例如 `/etc/docker/certs.d`。 现在,您已经完成了DockerTLS配置。通过使用TLS证书和密钥,您可以保护Docker守护进程和与之通信的客户端之间的通信安全性。请确保妥善保管生成的证书和密钥文件,并仅将其提供给受信任的实体。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值