Docker配置CA证书和远程访问

最新推荐文章于 2024-06-20 14:52:05 发布
最新推荐文章于 2024-06-20 14:52:05 发布
阅读量2k 收藏 11
点赞数 6
分类专栏: linux centos docker 文章标签: Docker TLS证书 安全配置 远程管理 脚本生成
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Oscrazy/article/details/112986271
版权
linux 同时被 3 个专栏收录
2 篇文章 0 订阅
订阅专栏
centos
2 篇文章 0 订阅
订阅专栏
docker
1 篇文章 0 订阅
订阅专栏

说明

我遇到过一个坑,为了方便远程管理docker,开放了所有IP对2375端口开放,这样是非常危险的,黑客很容易就能通过端口号进入你的容器,并且无需密码就能获取管理员权限,能对docker发送指令

下面开始快速生成CA证书

1.首先再任意目录创建一个脚本文件,比如叫autogen.sh

touch autogen.sh
vim autogen.sh

编辑内容如下面,根据提示修改[BEGIN]~[END]的内容
IP是必须修改的,其他选改
编辑完成后直接复制下面的内容到autogen.sh中保存

#!/bin/bash
# -------------------------------------------------------------
# 自动创建 Docker TLS 证书
# -------------------------------------------------------------

# config
# --[BEGIN]------------------------------
# 代码,可以随便写
CODE="WRETCHANT"
# 服务器的外网IP
IP="0.0.0.0"
# CA证书的密码
PASSWORD="CAPWDXXX"
# 国家
COUNTRY="CN"
# 地区
STATE="guangdong"
# 城市
CITY="guangzhou"
# 组织
ORGANIZATION="WRETCHANT.EDU"
ORGANIZATIONAL_UNIT="Dev"
COMMON_NAME="$IP"
# 邮件地址
EMAIL="xxx@gmail.com"

# --[END]--

# 创建存放脚本的文件夹
mkdir -p /etc/docker/cert.init/
cd /etc/docker/cert.init/

# Generate CA key
openssl genrsa -aes256 -passout "pass:$PASSWORD" -out "ca-key.pem" 4096
# Generate CA
openssl req -new -x509 -days 365 -key "ca-key.pem" -sha256 -out "ca.pem"   -passin "pass:$PASSWORD" -subj "/C=$COUNTRY/ST=$STATE/L=$CITY/O=$ORGANIZATION/OU=$ORGANIZATIONAL_UNIT/CN=$COMMON_NAME/emailAddress=$EMAIL"
# Generate Server key
openssl genrsa -out "server-key.pem" 4096

# Generate Server Certs.
openssl req -subj "/CN=$COMMON_NAME" -sha256 -new -key "server-key.pem" -out server.csr

echo "subjectAltName = IP:$IP,IP:127.0.0.1" >> extfile.cnf
echo "extendedKeyUsage = serverAuth" >> extfile.cnf

openssl x509 -req -days 365 -sha256 -in server.csr -passin "pass:$PASSWORD" -CA "ca.pem" -CAkey "ca-key.pem" -CAcreateserial -out "server-cert.pem" -extfile extfile.cnf

# Generate Client Certs.
rm -f extfile.cnf

openssl genrsa -out "key.pem" 4096
openssl req -subj '/CN=client' -new -key "key.pem" -out client.csr
echo extendedKeyUsage = clientAuth >> extfile.cnf
openssl x509 -req -days 365 -sha256 -in client.csr -passin "pass:$PASSWORD" -CA "ca.pem" -CAkey "ca-key.pem" -CAcreateserial -out "cert.pem" -extfile extfile.cnf

rm -vf client.csr server.csr

chmod -v 0400 "ca-key.pem" "key.pem" "server-key.pem"
chmod -v 0444 "ca.pem" "server-cert.pem" "cert.pem"

# 打包客户端证书成tar.gz包
mkdir -p "tls-client-certs"
cp -f "ca.pem" "cert.pem" "key.pem" "tls-client-certs/"
cd "tls-client-certs"
tar zcf "tls-client-certs.tar.gz" *
mv "tls-client-certs.tar.gz" ../
cd ..
rm -rf "tls-client-certs"

# 拷贝服务端证书,保存在docker目录下
mkdir -p /etc/docker
cp "ca.pem" "server-cert.pem" "server-key.pem" /etc/docker

运行脚本
sh autogen.sh

2.查看生成的文件

进入/etc/docker/cert.init/目录

[root@localhost ~]# ll /etc/docker/cert.init/
总用量 40
-r-------- 1 root root 3326 8月  21 11:53 ca-key.pem
-r--r--r-- 1 root root 2147 8月  21 11:53 ca.pem
-rw-r--r-- 1 root root   17 8月  21 11:53 ca.srl
-r--r--r-- 1 root root 1887 8月  21 11:53 cert.pem
-rw-r--r-- 1 root root   30 8月  21 11:53 extfile.cnf
-r-------- 1 root root 3247 8月  21 11:53 key.pem
-r--r--r-- 1 root root 1927 8月  21 11:53 server-cert.pem
-r-------- 1 root root 3243 8月  21 11:53 server-key.pem
-rw-r--r-- 1 root root 5407 8月  21 11:53 tls-client-certs.tar.gz

其中tls-client-certs.tar.gz里面是压缩了3个TLS登录所需的CA证书文件,需下载到本地解压

image.png

3.修改docker配置

vim /lib/systemd/system/docker.service

将ExecStart开头的那一行注释掉,复制这一行进去,作用是开放2376端口连接(2376端口是为TLS连接认证的),并使用刚刚生成的证书文件校验登录时所提供的CA证书是否正确

ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock

4.更新虚拟机配置并重启Docker

systemctl daemon-reload && systemctl restart docker

5.测试IDEA是否连接通过

在这里插入图片描述

Oscrazy
关注
  • 6
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux 下的Docker安装与IDEA配置远程Docker
洛阳泰山的博客
09-20 894
如果 idea 启动用dockerfile部署出现:Failed to deploy 'vhr-front Dockerfile: Dockerfile': Not connected to docker。出现connection successful 代表链接成功。官方的镜像源网速比较慢,建议用国内的。关闭 idea,重新打开idea即可。
docker配置ca证书
无bug不人生
07-12 2066
参考 脚本 ca证书生成脚本 #!/bin/bash # ------------------------------------------------------------- # 自动创建 Docker TLS 证书 # ------------------------------------------------------------- # config # --[BEGIN]------------------------------ # 代码,可以随便写 CODE="WRETCHANT"
Linux开启Docker远程访问并设置安全访问(证书密钥)
D的博客
08-01 1167
然后依次输入:访问密码、国家、省、市、组织名称、单位名称、随便一个名字、邮箱等。HOST是你的IP或者域名,使用时将HOST替换为自己的IP或者域名。防止密钥文件被误删或者损坏,我们改变一下文件权限,让它只读就可以。证书就创建完成了,然后我们还需要去创建服务器密钥和证书签名请求()了,确保“通用名称”与你连接Docker时使用的主机名相匹配。守护程序的主机上(也就是本机),生成CA私钥和公钥。防止证书损坏,我们也删除它的写入权限。证书文件夹选择你存放证书的文件夹。我们首先获取我服务器上的证书
docker容器 安装证书
最新发布
一路向前的博客
06-20 356
4.运行 cp /usr/local/share/ca-certificates/proxyman_certificate.pem /usr/local/share/ca-certificates/proxyman_certificate.crt。请将C:\path\to\proxyman_certificate.pem替换为证书文件在你本地文件系统中的实际路径。在Windows上打开PowerShell或命令提示符。以root身份进入容器并更新证书存储。
docker基础(21):配置CA证书远程发布项目
不积跬步,无以至千里
03-22 1620
如果你没有docker远程发布的经验,建议先查看简单的发布方式 docker基础(15):idea插件远程发布项目 文章目录概述操作流程配置证书&开启远程端口2测试配置idea 概述 生产环境禁止将docker远程发布端口无密钥的暴露到公网,否则分分变成矿机。 #编辑/lib/systemd/system/docker.service vim /lib/systemd/system/docker.service #开启远程(不要在公网这么干) ExecStart=/usr/bin/dockerd -
Docker】2、配置SSL证书远程访问Docker
Asurplus
05-29 688
配置SSL证书远程访问Docker
idea集成docker插件并实现远端服务器CA证书访问
qq_41888048的博客
09-22 823
idea集成docker插件并实现远端服务器CA证书访问 参考官方教程及网上资料整理,有兴趣的可以直接移位官方 https://docs.docker.com/engine/security/https/#create-a-ca-server-and-client-keys-with-openss 首先 需要在服务器创建一个目录,比如/usr/local/docker/ca存放待会儿要生成的数据文件 1.生成CA私钥和公钥 openssl genrsa -aes256 -out ca-key.pem 409
jenkins如何配置ca证书访问远程docker
04-25
Jenkins可以通过配置插件和设置环境变量来访问远程Docker配置CA证书。具体步骤如下: 1. 安装DockerDocker pipeline插件。 2. 在Jenkins主机上将CA证书添加到Jenkins的Java KeyStore中。可以使用keytool工具...
Docker开启远程安全访问的图文教程详解
09-29
### 安全考虑:配置Docker远程访问的安全措施 **警告:** 不推荐在生产环境中直接使用上述步骤,因为它将Docker API暴露在互联网上,存在严重的安全风险。正确的做法是启用基于证书的TLS加密。 #### 1. 创建CA...
IDEA-Docker配置CA证书远程访问
qq_51705526的博客
01-13 2561
为了优化idea+docker部署,防止自己服务器端口2375被黑,这里简单介绍一下idea-dockerca证书配置
Linux开启Docker远程访问并设置安全访问(证书密钥),附一份小白一键设置脚本哦!
Jan's的博客
01-18 2938
喜欢折腾慢慢看,不喜欢折腾直接跳到小简下文的一键脚本那里,两分钟搞好。我的博客:https://blog.ideaopen.cn我的公众号:小简聊开发一键脚本很方便,小简推荐使用这个,不折腾,我是折腾玩儿才不用脚本的。生产环境安全不容疏忽,大家公网环境可千万别粗心大意哦!Docker很多教程都只告诉你打开连接,万一有人服务器上开启连接,那就不是很好了,所以我才写一篇安全认证配置和远程连接配置一起的教程。下期再见,小简提前祝大家新春快乐哦!
关于证书的介绍,创建自签证书docker私有仓库构建、docker远程证书访问
u013595395的博客
03-03 788
0.安装openssl工具 yum install -yopenssl yum install openssl-devel 1.创建两组公私秘钥 ​​openssl genrsa用于生成RSA私钥,不会生成公钥,因为公钥提取自私钥。 ​​openssl rsa用于查看公钥。 -- 这里为了简单就不使用密码加密私钥了 认证中心: openssl genrsa -out ca-private-key.pem 4096 openssl rsa -in ca-private-ke...
Docker的安全屏障(CA证书
zhuwei的博客
08-04 1152
Docker安全及日志管理前言一、Docker容器和虚拟机的区别性能损耗隔离与共享docker安全问题自身漏洞源码缺陷三、docker 安全缺陷DDOS攻击资源耗尽系统漏洞共享root用户权限局域网攻击四、docker 安全基线标准内核级别主机级别网络级别镜像级别容器级别其他设置五、docker安全配置api远程访问控制限制流量流向创建CA证书 前言 一、Docker容器和虚拟机的区别 性能损耗 与虚拟机相比,容器资源损耗要少。同样的宿主机下,能够建立容器的数量要比虚拟机多。但是,虚拟机的安全性要比容器稍好
Docker基础系列之TLS和CA认证
囚徒之困
04-01 1374
Docker TLS和CA认证
Kubernetes创建pod一直处于ContainerCreating排查和解决
weixin_34307464的博客
05-24 805
用k8s创建完pod后,发现无法访问demo应用,查了一下pods状态,发现都在containercreationg状态中。百度了一下,根据网上的方法,查了一下mysql-jn6f2这个pods的详情其中最主要的问题是:details: (open /etc/docker/certs.d/registry.access.redhat.com/redhat-ca.crt: no...
docker 生成TLS认证证书
martin_violet的博客
04-14 2257
docker ssl TSL 证书
docker :no such file or directory
weixin_34248849的博客
09-04 1847
---恢复内容开始--- 其中最主要的问题是:details: (open /etc/docker/certs.d/registry.access.redhat.com/redhat-ca.crt: no such file or directory) 解决方案: 查看/etc/docker/certs.d/registry.access.redhat.com/redhat-ca.crt...
Docker的TLS认证
qq_27858615的博客
07-28 1493
docker的TLS认证
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值