docker开启CA认证

最新推荐文章于 2023-09-02 23:59:25 发布
最新推荐文章于 2023-09-02 23:59:25 发布
阅读量539 收藏
点赞数
分类专栏: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a1334933655/article/details/120772847
版权

docker 运维

docker开启ca认证

mkdir -p /docker/docker_ca
cd /docker/docker_ca

#输入两次密码
openssl genrsa -aes256 -out ca-key.pem 4096

#输入密码,然后依次输入国家是 CN,省例如是Shanghai、市Shanghai、组织名称、组织单位、姓名或服务器名、邮件地址,都可以随意填写
openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem

#执行生成服务器端key证书文件
openssl genrsa -out server-key.pem 4096

#ip需要换成自己服务器的外网ip地址,或者域名都可以
openssl req -subj "/CN=xxx.xxx.xxx.xxx" -sha256 -new -key server-key.pem -out server.csr

#配置白名单,多个用逗号隔开,ip需要换成自己服务器的外网ip地址
echo subjectAltName = IP:xxx.xxx.xxx.xxx,IP:0.0.0.0 >> extfile.cnf

#限制扩展只能用在服务器认证
echo extendedKeyUsage = serverAuth >> extfile.cnf

#执行以下命令,输入之前设置的密码,然后会生成签名的证书
openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \-CAcreateserial -out server-cert.pem -extfile extfile.cnf

#生成例如idea等客户端需要用到的密钥文件
openssl genrsa -out key.pem 4096

#生成客户端签名请求需要用到的临时文件
openssl req -subj '/CN=client' -new -key key.pem -out client.csr

#继续设置证书扩展属性
echo extendedKeyUsage = clientAuth >> extfile.cnf

#输入之前的密码生成认证证书,生成正式签名证书
openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \-CAcreateserial -out cert.pem -extfile extfile.cnf

#删除生成的临时文件
rm -rf client.csr server.csr

#修改证书为只读权限保证证书安全
chmod -v 0400 ca-key.pem key.pem server-key.pem
chmod -v 0444 ca.pem server-cert.pem cert.pem

#修改证书为只读权限保证证书安全
chmod -v 0400 ca-key.pem key.pem server-key.pem
chmod -v 0444 ca.pem server-cert.pem cert.pem

#修改docker配置
vim /lib/systemd/system/docker.service

#在ExecStart=/usr/bin/dockerd这行最后追加
--tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock 


#开放防火墙的2375的端口,如果防火墙已经关闭,忽略此项
firewall-cmd --zone=public --add-port=2375/tcp --permanent
firewall-cmd --reload

#重载服务并重启docker
systemctl daemon-reload && systemctl restart docker

#将以下三个文件拷贝到本地,作为公钥使用
sz ca.pem cert.pem key.pem

#测试一下证书是否配置成功,如果成功,会输出证书相关信息,如果有fail,请检查证书
#填写外网IP
docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H=xxx.xxx.xxx.xxx:2375 version
程序员小羽
关注
专栏目录
《伸手系列》之Docker开启2376端口CA认证
御前提笔小书童
01-20 1108
前言 众所周知,docker可以开启远程访问API,但是发现很多都是直接开启2375端口,未做安全配置,从而出现安全隐患,最近在将docker环境统一portainer管理时,发现有这种情况。本文讲解如何开启安全认证的方法,配置TLS保证API的安全。 简单粗暴的开启远程访问 1、开启方式 编辑docker文件:/usr/lib/systemd/system/docker.service vim ...
开启docker中MongoDB的认证授权
Ayhan_huang的博客
04-12 6086
开启docker中MongoDB的认证授权 思路 开启MongoDB服务后,默认是没有权限验证的。直接通过IP加端口就可以远程访问数据库,并对数据库进行任意操作。下面介绍一下如何开启docker中MongoDB的权限认证。 安装完MongoDB服务后默认有一个admin数据库,此时admin数据库是空的,没有记录任何权限相关的信息。当admin.system.users一个用户都没有时,即使Mon...
docker开启2376端口CA认证
qq_20161461的博客
09-27 577
Docker CA认证 1、创建ca文件夹,存放CA私钥和公钥 mkdir -p /usr/local/ca cd /usr/local/ca/ 2、创建密码 需要连续输入两次相同的密码 openssl genrsa -aes256 -out ca-key.pem 4096 3、依次输入密码、国家、省、市、组织名称等 openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem 4、生成server-key.pem opens
Docker使用CA认证
AnblackCat的学习笔记
02-03 2443
在idea中一键部署项目到DockerCA认证 不使用 CA 认证的方法在 这里 本文直接开始介绍使用 CA 认证远程连接 docker,不使用 CA 认证也行,在自己的虚拟机里面可以这么干,但是放到联网的服务器上就不建议这么做了,原因是,你把2375端口暴露在外面,意味着别人随时都可以提取到你服务器的root权限,是很容易被黑客黑的(笔者就是被当成了矿机的一例QwQ)。因此,docker官方...
Docker整合CA认证
最新发布
alai_5186_cdsn的专栏
09-02 290
要保护您的密钥免受意外损坏,请删除其写入权限。编译打包,然后生成镜像,通过镜像上线,能够大大提供上线效。证书可以是对外可读的,删除写入权限以防止意外损坏。率,同时能够快速动态扩容,快速回滚,着实很方便。前面提到的配置是允许所有人都可以访问的,因为。,接下来创建一个服务器密钥和证书签名请求。而在持续集成过程中,项目工程一般使用。名称进行,所以在创建证书时需要指定。传统过程中,打包、部署、等。端口暴露在外面,意味着别人随。权限,是很容易被黑客黑的,因此。用于指定需要复制的根目录,时,会对镜像进行 标签设定。
Docker学习(十一)-----docker-ca加密认证
qq_44623314的博客
09-12 786
前面提到的配置是允许所有人都可以访问的,因为docker默认是root权限的,把2375端口暴露在外面,意味着别人随时都可以提取到你服务器的root权限,很容易被黑客黑,因此,docker官方推荐使用加密的tcp连接,以https的方式与客户端建立连接官网文档。
Docker 开启SSL证书加密远程链接
ptxrq的博客
08-01 735
Docker 开启SSL证书加密远程链接
docker开启TLS远程连接
mxrain的博客
06-21 489
最近在研究cicd jenkins 需要连接阿里云服务器的docker 2375端口, 这里用TLS方式连接docker服务 一、制作证书(docker服务的机器) 建立证书存放位置 创建CA证书私钥 创建服务端私钥 创建服务端证书签名请求文件,用于CA证书给服务端证书签名。IP需要换成自己服务器的IP地址,或者域名都可以。生成文件server.csr 配置白名单,用多个用逗号隔开,例如: IP:192.168.3.171,IP:0.0.0.0,这里需要注意,虽然0.0.0.0
Docker Remote API 进行认证
qq_40422846的博客
05-19 2001
Docker 的 0.9 版本开始 Docker Remote API 开始提供了认证机制,这种认证机制采用了 TLS/SSL 证书来确保用户与 API 之间连接的安全性。 提示: 该认证不仅仅适用于 API ,通过这个认证,还需要配置 Docker 客户端来支持 TLS 认证。 有几种方法可以对我们的连接进行认证,包括可以使用...
Docker的安全屏障(CA证书)
zhuwei的博客
08-04 1153
Docker安全及日志管理前言一、Docker容器和虚拟机的区别性能损耗隔离与共享docker安全问题自身漏洞源码缺陷三、docker 安全缺陷DDOS攻击资源耗尽系统漏洞共享root用户权限局域网攻击四、docker 安全基线标准内核级别主机级别网络级别镜像级别容器级别其他设置五、docker安全配置api远程访问控制限制流量流向创建CA证书 前言 一、Docker容器和虚拟机的区别 性能损耗 与虚拟机相比,容器资源损耗要少。同样的宿主机下,能够建立容器的数量要比虚拟机多。但是,虚拟机的安全性要比容器稍好
docker系列】docker API管理接口增加CA安全认证
字母哥博客
06-06 7808
前文中我们曾经介绍过《使用IDEA远程工具》连接Docker REST API,我们会发现一个问题,任何知道Docker 服务器IP、端口的第三方都可以访问这个API,非常的不安全。为了保证Docker API的安全性,我们有必要使用数字证书进行安全验证。...
docker基础(21):配置CA证书远程发布项目
不积跬步,无以至千里
03-22 1626
如果你没有docker远程发布的经验,建议先查看简单的发布方式 docker基础(15):idea插件远程发布项目 文章目录概述操作流程配置证书&开启远程端口2测试配置idea 概述 生产环境禁止将docker远程发布端口无密钥的暴露到公网,否则分分变成矿机。 #编辑/lib/systemd/system/docker.service vim /lib/systemd/system/docker.service #开启远程(不要在公网这么干) ExecStart=/usr/bin/dockerd -
docker仓库(三)仓库的搭建及官方私有仓库的加密认证
cjzcc1996的博客
07-10 560
在生产环境中,有些环境下可能是不被允许连接外网的,所以此时我们就需要搭建一个本地的私有仓库。我们也可以在docker官网创建一个账号,可以把我们本地的镜像上传到官网:Docker Hub 创建账户后,在本机登陆刚刚创建的账号: 用户的登录信息将会保存到用户主目录下 .docker 中,这样就可以保证后面我们不需要频繁的login: 在网页端创建仓库:在本机 先更改tag和仓库信息,然后再push上传: 可以看到在我们刚刚创建的仓库里面已经有我们上传的镜像了:我们也可以登出docker:首先进入aliyun
Docker CA认证和idea中使用
qq_46126559的博客
07-01 990
文章目录Docker CA认证创建ca文件夹,存放CA私钥和公钥创建密码依次输入密码、国家、省、市、组织名称等生成server-key.pem把下面的$Host换成你自己服务器外网的IP或者域名配置白名单如果你填写的是ip地址的话命令如下如果你填写的是域名的话命令如下执行命令,将Docker守护程序密钥的扩展使用属性设置为仅用于服务器身份验证执行命令,并输入之前设置的密码,生成签名证书生成客户端的key.pem,到时候把生成好的几个公钥私钥拷出去即可执行命令要使密钥适合客户端身份验证,请创建一个新的扩展配置
centos7上实现docker的安全访问-基于CA认证
wendrewshay
03-06 1804
docker-ce版本:18.09.3-rc1 由于在局域网内主机进行测试,IP为192.168.22.65,以下内容中可将所有此IP替换成自己的IP地址。 一、在docker守护进程的主机上 1、生成CA私钥文件ca-key.pem $ openssl genrsa -aes256 -out ca-key.pem 4096 2、生成CA公钥文件ca.pem $ openssl r...
docker安装ca证书
Lingyonglin_Chen的博客
03-01 391
记录 版权声明:本文为CSDN博主「Young--」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。 原文链接:https://blog.csdn.net/qq_40250122/article/details/98893559
docker 2376端口 CA 认证,并不能阻止服务器成为肉鸡
a01021111230的博客
09-10 616
看网上很多评论;自签CA证书,生成服务器CA签名证书,和客户端CA签名证书;docker服务端配置客户端,允许docker远程控制的客户端,配置客户端CA;只有该客户端CA签名证书才能远程控制docker;其实不对的。 docker的服务端CA,和客户端CA,只是完成了双方的信息双向加密。docker并没有进行双方身份的认证,所以2376端口是不安全的。 可以使用两套CA证书机构,分别签服务端CA证书,和客户端证书,验证,本人已验证,直接说结论: 客户端随便一个CA证书签名的客户端CA证书都可
Docker开启远程安全访问教程:从基础到CA证书配置
"这篇教程详述了如何开启Docker的远程安全访问,包括编辑docker.service文件,重新加载配置,以及防火墙和安全组规则的设置。同时强调了直接暴露Docker端口的安全风险,并推荐使用CA证书进行加密通信。" 在Docker中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序员小羽

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值