docker安全及TLS安全加密通讯 CA证书

最新推荐文章于 2024-04-01 14:29:50 发布
最新推荐文章于 2024-04-01 14:29:50 发布
阅读量342 收藏 2
点赞数
分类专栏: linux Docker 文章标签: docker tls
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TheRichCat/article/details/110561997
版权

前言

为什么docker需要使用TLS加密通讯

  • 为了防止链路劫持、会话劫持等问题导致 Docker 通信时被中 间人攻击,c/s 两端应该通过加密方式通讯。
  • 因为docker的容器与宿主机共享系统核心,所以如果容器被攻陷呢么宿主机将受到牵连。

TLS

TLS 全称为Transport Layer Security,意指传输层安全,是解决网络安全的重量级武器。传输层安全最早由网景公司所开发,那时的名字还不叫TLS,而是SSL Secure Sockets Layer,即安全套接字层。介于osi七层模型的应用层和传输层之间。

  • TLS协议是可选的,必须配置客户端和服务器才能使用。主要有两种方式实现这一目标:一个是使用统一的TLS协议通信端口(例如:用于HTTPS的端口443);另一个是客户端请求服务器连接到TLS时使用特定的协议机制(例如:邮件、新闻协议和STARTTLS)。一旦客户端和服务器都同意使用TLS协议,他们通过使用一个握手过程协商出一个有状态的连接以传输数据。通过握手,客户端和服务器协商各种参数用于创建安全连接:
    当客户端连接到支持TLS协议的服务器要求创建安全连接并列出了受支持的密码组合(加密密码算法和加密哈希函数),握手开始。

  • 服务器从该列表中决定加密和散列函数,并通知客户端。
    服务器发回其数字证书,此证书通常包含服务器的名称、受信任的证书颁发机构(CA)和服务器的公钥。
    客户端确认其颁发的证书的有效性。
    为了生成会话密钥用于安全连接,客户端使用服务器的公钥加密随机生成的密钥,并将其发送到服务器,只有服务器才能使用自己的私钥解密。
    利用随机数,双方生成用于加密和解密的对称密钥。这就是TLS协议的握手,握手完毕后的连接是安全的,直到连接(被)关闭。如果上述任何一个步骤失败,TLS握手过程就会失败,并且断开所有的连接。

为daocker部署tls加密

开始前我们先了解一下tls加密的过程
过程图如下

在这里插入图片描述

命令流程如下

vim /etc/hosts
master 127.0.0.1
保存退出
openssl genrsa -aes256 -out ca-key.pem 4096 #随后要输入密码 这里是12345
openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pemd #随后要输入密码 这里是12345
openssl genrsa -out server-key.pem 4096
openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr #随后要输入密码 这里是12345
openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem
openssl genrsa -out key.pem 4096
openssl req -subj "/CN=client" -new -key key.pem -out client.csr
echo extendedKeyUsage=clientAuth > extfile.cnf #随后要输入密码 这里是12345
openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
rm -rf ca.srl client.csr extfile.cnf server.csr #删除其他不需要的临时文件
systemctl daemon-reload #重启守护进程
systemctl restart docker #重启服务以应用配置文件
scp ca.pem root@20.0.0.19:/etc/docker/ #输入客户端root账号密码
scp cert.pem root@20.0.0.19:/etc/docker/ #输入客户端root账号密码
scp key.pem root@20.0.0.19:/etc/docker/ #输入客户端root账号密码

docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:4399 version #本地访问一下验证

然后切换到客户端

vim /etc/hosts
20.0.0.18 master #添加一下master的本地映射记录
docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:4399 pull centos
反馈:
Using default tag: latest
latest: Pulling from library/centos
3c72a8ed6814: Pull complete 
Digest: sha256:76d24f3ba3317fa945743bb3746fbaf3a0b752f10b10376960de01da70685fbd
Status: Downloaded newer image for centos:latest
docker.io/library/centos:latest

完成

命令选项注释

genrsa :使用非对称加密方式
-aes256 : Rijndael加密法256位
-out : 指定输出的文件名
-x509 : 使用国际标准x.509
-subj : 键入签名
-days : 证书有效期 1000天
-sha256 : 使用哈希算法256位

TheRichCat
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Docker镜像加入可信任证书
ミ安之偌素
11-20 4341
在使用容器访问一个自签名证书站点的时候碰到如下报错: curl: (60) SSL certificate problem: unable to get local issuer certificate More details here: https://curl.haxx.se/docs/sslcerts.html curl failed to verify the legitimacy ...
idea集成docker通过CA加密认证
zhangr
09-26 270
创建证书 创建文件夹,这个是存放要生成的证书位置 mkdir -p /usr/local/ca 中间的一些生成过程已经写成shell文件点击下载 提取码:m5e4 把shell文件下载后存放到/usr/local/ca目录下,给shell文件赋权然后执行 chmod +x /usr/local/ca/*.sh ./create_tls_certs.sh 有个坑要注意,如果你在其他文本编辑器里编辑了create_tls_certs.sh,再上传到服务器,可能会出现特殊字符导致执行失败如下图,所..
Docker使用CA认证
AnblackCat的学习笔记
02-03 2404
在idea中一键部署项目到DockerCA认证 不使用 CA 认证的方法在 这里 本文直接开始介绍使用 CA 认证远程连接 docker,不使用 CA 认证也行,在自己的虚拟机里面可以这么干,但是放到联网的服务器上就不建议这么做了,原因是,你把2375端口暴露在外面,意味着别人随时都可以提取到你服务器的root权限,是很容易被黑客黑的(笔者就是被当成了矿机的一例QwQ)。因此,docker官方...
Docker学习(十一)-----docker-ca加密认证
qq_44623314的博客
09-12 768
前面提到的配置是允许所有人都可以访问的,因为docker默认是root权限的,把2375端口暴露在外面,意味着别人随时都可以提取到你服务器的root权限,很容易被黑客黑,因此,docker官方推荐使用加密的tcp连接,以https的方式与客户端建立连接官网文档。
IDEA集成Docker插件实现项目打包镜像一键部署与Docker CA加密认证
积跬步,至千里。
12-17 1631
IDEA集成Docker插件实现项目打包镜像一键部署与Docker CA加密认证
Docker启用TLS实现安全配置的步骤
09-29
Docker启用TLS(Transport Layer Security)是保护Docker守护进程套接字安全的重要步骤,它为Docker远程API提供加密和身份验证,防止未授权访问和数据泄露。TLS是一种广泛使用的网络安全协议,用于确保网络通信的...
使用TLS加密通讯远程连接Docker的示例详解
01-20
通过以上步骤,Docker守护程序和客户端之间的通信将受到TLS加密的保护,防止未经授权的第三方窃听或篡改数据。这种安全配置对于在生产环境中管理和部署容器至关重要,确保了数据和资源的安全性。
Docker开启远程安全访问的图文教程详解
09-29
正确的做法是启用基于证书TLS加密。 #### 1. 创建CA证书颁发机构)私钥和公钥 在Docker主机上,创建一个目录来存放私钥和公钥,并生成它们: ```bash mkdir -p /usr/local/ca cd /usr/local/ca openssl ...
vCenter证书过期处理脚本,可以使用脚本续订成十年证书,清理过期的证书以及数据加密证书的续订脚本
最新发布
06-13
- `fix_encipherment_cert.sh`:此脚本可能专门针对数据加密证书进行处理,更新加密证书以确保数据传输的安全性。 - `vcsa证书替换清理.txt` 和 `VC证书查询.txt`:这两个文件可能是脚本执行的指南或者日志,记录...
Fabric Docker:多机多节点部署生产网络
06-25
9. **安全性**:在多机部署中,必须确保节点之间的通信安全,这通常通过SSL/TLS加密实现。同时,应限制网络访问,防止未授权的访问。 10. **容错与恢复**:考虑到生产环境的可靠性,应设计备份和恢复策略。如果某个...
docker代理设置ssl证书_docker 配置 ssl证书
weixin_42386033的博客
01-13 738
openssl genrsa -out ca.key 4096openssl req -x509 -new -nodes -sha512 -days 3650-subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=harbor.moyu.com"-key ca.key-out ca.crtopenssl genrsa -out harb...
docker login CA认证问题/添加自签发的 SSL 证书为受信任的根证书
热门推荐
xiaolummhae的专栏
07-06 1万+
[root@centos-master root]# docker login -u admin -p admin -e xiaolumm@126.com https://zq.reg32.com/v2/ FATA[0000] Error response from daemon: invalid registry endpoint https://zq.reg32.jd
Harbor https搭建,及配置docker客户端证书受信
nickDaDa的博客
02-02 3955
2019/02/19 修改 此文以过时,请看另一篇攻略: https://blog.csdn.net/nickDaDa/article/details/87615607 ==================================================================== 生成Harbor证书及配置: https://blog.csdn.net/ccy19...
【云原生】Docker 安全CA证书生成
xnxqwzy的博客
03-26 1042
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
docker搭建私有仓库、自签发证书、登录认证
小薯条的博客
12-26 3235
#先吧私有仓库down下来,这需要一点时间,刚好这中间的时间,我们可以准备一下其他的东西 docker pull registry 紧接着,registry需要https运行环境,所以来生成我们自己的证书(简单说明一下,目前的registry版本是2,之前的1是支持非ssl的,docker在0.9以下。) 先交代一下环境:物理机是win10,使用hyper-v 虚拟一个cenots(ip...
Docker基础系列之TLSCA认证
囚徒之困
04-01 1218
Docker TLSCA认证
记一次CA证书的申请、服务器上的部署过程
simpleGq的专栏
05-21 2398
1.简介 最近用docker在liberity服务器上部署了一个应用。由于安全方面的考虑,服务器管理员需要我们启用https连接。这就需要我们去给liberity配置ssl证书。 2.步骤 1.申请CA证书 申请CA证书需要证书请求文件,需要在Server端生成。可以在server端用openssl命令生成。 证书请求文件里面包含的是server的public key。下面的命令生成了一个glz7plpsc.pok.ibm.com.key,这个就是服务器的私钥。glz7plpsc.pok.ibm.com.
花里胡哨的东西(二):IDEA集成Docker,通过CA认证方式安全链接到Docker,实现一键部署
weixin_51542566的博客
01-23 2883
花里胡哨的东西(一):IDEA集成Docker,通过CA认证方式安全链接到Docker,实现一键部署 一、CA认证 1、先在/usr/local目录下创建个文件夹,这里取名叫ca,然后进入ca文件夹中 mkdir -p /usr/local/ca cd /usr/local/ca 2、依次执行下面的命令,需要输入密码,自由指定,两次输入保持一致并记住即可.因为等下我们要用 openssl genrsa -aes256 -out ca-key.pem 4096 3、先输入上面设置的密码,然后根据提示分
docker——tls(ssl)加密通信
Yusheng9527的博客
03-16 1880
docker——tls(ssl)加密通信DockerClient端与DockerDaemon的通信安全(https证书)背景使用证书访问的工作流程部署思路证书创建过程环境准备创建一个存放目录生成ca证书1)创建ca私钥2)创建ca证书ca证书签发server端证书1)创建服务器私钥2)生成证书签名请求文件(csr文件)3)使用ca证书与私钥证书签发服务端签名证书ca证书签发client端证书1)生成客户端私钥2)生成证书签名请求文件3)创建扩展配置文件,使秘钥适合客户端身份验证4)使用ca证书签发客户
docker swarm部署环境
06-06
4. **认证与授权**:为了安全,Swarm 会使用 TLS 加密进行通信,并且支持身份验证,例如通过 swarm ca证书颁发机构)和 swarm token。 5. **Docker客户端**:开发者或运维人员通常使用 Docker CLI 或 Docker ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值