使用自签名证书配置TLS搭建安全的Docker本地私有库

最新推荐文章于 2024-04-01 14:29:50 发布
最新推荐文章于 2024-04-01 14:29:50 发布
阅读量1.3k 收藏 1
点赞数 1
分类专栏: Docker 文章标签: docker docker私有库 registry kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a632189007/article/details/78729079
版权

编辑openssl.cnf文件

openssl.cnf 文件位置:/etc/pki/tls/openssl.cnf

编辑/etc/pki/tls/openssl.cnf文件,在 [v3_ca]下增加一行:

[ v3_ca ]  
subjectAltName = IP:192.168.169.125  # 此处IP设置为Docker本地私有库所在主机IP

然后使用openssl命令在当前的certs目录下创建了一个自签名的证书:

[root@mimo150 tls]# mkdir -p certs && openssl req -newkey rsa:4096 \
-nodes -sha256 -keyout certs/domain.key \
-x509 -days 365 -out certs/domain.crt

在证书的创建过程中,会询问国家、省分、城市、组织、部门和common name的信息,其中common name信息我填写的是Docker私有库主机的IP 10.0.11.150. 证书创建完毕后,在certs目录下出现了两个文件:证书文件domain.crt和私钥文件domain.key。

[root@mimo150 tls]# mkdir -p certs && openssl req -newkey rsa:4096 \
-nodes -sha256 -keyout certs/domain.key \
-x509 -days 365 -out certs/domain.crt

Generating a 4096 bit RSA private key
...........................................................++
..............++
writing new private key to 'certs/domain.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:china
string is too long, it needs to be less than  2 bytes long
Country Name (2 letter code) [XX]:中国
string is too long, it needs to be less than  2 bytes long
Country Name (2 letter code) [XX]:CN    
State or Province Name (full name) []:TJ   
Locality Name (eg, city) [Default City]:TJ
Organization Name (eg, company) [Default Company Ltd]:TJXY
Organizational Unit Name (eg, section) []:AI    
Common Name (eg, your name or your server's hostname) []:10.0.11.150
Email Address []:
[root@mimo150 tls]#

安装Docker

10.0.11.150主机上安装Docker,安装教程查看:Docker安装、操作常用命令

复制domain.crt到指定位置

将前面生成的domain.crt文件复制到/etc/docker/certs.d/10.0.11.150:5000目录下,然后重启docker进程:

[root@mimo150 tls]# mkdir -p /etc/docker/certs.d/10.0.11.150:5000
[root@mimo150 tls]# cp certs/domain.crt /etc/docker/certs.d/10.0.11.150:5000/ca.crt
[root@mimo150 tls]# systemctl restart docker

运行registry容器

在Docker私有库节点10.0.11.150上运行registry容器,并暴露容器的5000端口:

[root@mimo150 tls]# docker run -d -p 5000:5000 --restart=always \
 --name bigdata_docker_registry \
 --privileged=true \
 -v /etc/pki/tls/certs/certs:/certs \
 -v /data/docker/registry:/var/lib/registry \
 -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
 -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
 docker.io/registry:latest

  • -p 5000:5000 : 指定外部端口5000映射容器内端口5000

  • –name registry : 容器名称

  • -v /etc/pki/tls/certs:/certs : 指定外部目录/etc/pki/tls/certs映射容器内部目录/certs

  • -v /data/docker/registry:/var/lib/registry : 同上一样,指定目录挂载映射

同步签名证书到Docker节点

最后,将domain.crt文件复制到Kubernetes集群里的所有节点的/etc/docker/certs.d/10.0.11.150:5000目录下,并重启各节点的docker进程,例如在10.0.11.151节点上运行:

# mkdir -p /etc/docker/certs.d/10.0.11.150:5000
# scp root@10.0.11.150:~/certs/domain.crt /etc/docker/certs.d/10.0.11.150:5000/ca.crt
# systemctl restart docker

至此,Docker私有库搭建完成。

T_白日梦想家
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
搭建Docker私有(自签名方式)
01-10
通读了一遍官方文档,Docker为了确保安全使用TLS,需要CA认证,认证时间长的要钱啊,免费过期时间太短,还是用自签名比较简单。 准备环境 环境:两台Centos 7 虚拟机  》服务器IP:10.57.220.244 ,作为Docker...
Docker registry自签名证书
weixin_30840573的博客
12-20 326
权威Registry 获取安全证书有两个办法:互联网认证的CA处获取。自建CA自己给自己签名。 1、从认证CA处获取签名证书,大多数是需要付出一定费用的,近些年也有认证CA提供免费证书,例如Let’s Encrypt(被大多数浏览器信任)。下文使用Let’s Encrypt的例子您将清楚地看到这个步骤。 2、自建CA并签名证书的方式所带来的问题是CA本身的维护以及客户端方面的维护。要保证...
docker配置ca证书
无bug不人生
07-12 2023
参考 脚本 ca证书生成脚本 #!/bin/bash # ------------------------------------------------------------- # 自动创建 Docker TLS 证书 # ------------------------------------------------------------- # config # --[BEGIN]------------------------------ # 代码,可以随便写 CODE="WRETCHANT"
Docker基础系列之TLS和CA认证
最新发布
囚徒之困
04-01 960
Docker TLS和CA认证
docker安全配置tls证书加密
weixin_43515220的博客
04-29 342
[root@localhost ~]# mkdir /tls [root@localhost ~]# cd /tls [root@localhost tls]# hostnamectl set-hostname master [root@localhost tls]# su [root@master tls]# vim /etc/hosts // 添加master与IP地址映射 // // 创建...
使用签名证书进行TLS
storm_fury
10-26 4629
签名证书将创建并存储在密钥生成过程中指定的密钥中,并应由签名证书替换。使用签名证书需要生成和分发证书并为证书建立明确的信任。 使用签名证书获取TLS/SSL配置证书,用于非生产或测试环境。 创建证书的目录 $ mkdir -p / opt / cloudera / security / x509 / / opt / cloudera / security / jks / 让Cloude...
ssl/tls 自签证书
谢文浩博客
11-02 853
***************************************************************************************** 客户端证书*************************************************************************************************步骤四:服务器证书请求文件。步骤六:查看服务器证书信息。步骤三:客户端证书请求文件。步骤一:服务器ca证书
Docker启用TLS实现安全配置的步骤
09-29
主要给大家介绍了关于Docker启用TLS实现安全配置的方法步骤,文中通过示例代码介绍的非常详细,对大家学习或者使用Docker具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
Windows Server 2008 R2 下配置TLS1.2添加自签名证书的图文教程
09-30
主要介绍了Windows Server 2008 R2 下配置TLS1.2添加自签名证书的图文教程,非常不错,具有参考借鉴价值,需要的朋友参考下吧
linux添加自签名证书,Linux中Nginx添加自签证书TLS的方法
weixin_36415835的博客
05-03 411
创建自签证书TLSopenssl req \-newkey rsa:2048 \-x509 \-nodes \-keyout test.com.key \-new \-out test.com.crt \-subj /CN=test.com \-reqexts SAN \-extensions SAN \-config -sha256 \-days 3650查看自签证书信息openssl x509...
docker基础(21):配置CA证书远程发布项目
不积跬步,无以至千里
03-22 1584
如果你没有docker远程发布的经验,建议先查看简单的发布方式 docker基础(15):idea插件远程发布项目 文章目录概述操作流程配置证书&开启远程端口2测试配置idea 概述 生产环境禁止将docker远程发布端口无密钥的暴露到公网,否则分分变成矿机。 #编辑/lib/systemd/system/docker.service vim /lib/systemd/system/docker.service #开启远程(不要在公网这么干) ExecStart=/usr/bin/dockerd -
docker添加证书认证
u010826341的博客
04-28 2907
docker添加证书认证
Kubernetes创建pod一直处于ContainerCreating排查和解决
weixin_34307464的博客
05-24 780
用k8s创建完pod后,发现无法访问demo应用,查了一下pods状态,发现都在containercreationg状态中。百度了一下,根据网上的方法,查了一下mysql-jn6f2这个pods的详情其中最主要的问题是:details: (open /etc/docker/certs.d/registry.access.redhat.com/redhat-ca.crt: no...
open /etc/docker/certs.d/registry.access.redhat.com/redhat-ca.crt: no such file or directory
秋天的博客
12-24 1945
其中最主要的问题是:details: (open /etc/docker/certs.d/registry.access.redhat.com/redhat-ca.crt: no such file or directory) 解决方案: 查看/etc/docker/certs.d/registry.access.redhat.com/redhat-ca.crt 是一个软链接,但是链接过去后并...
open /etc/docker/certs.d/registry.access.redhat.com/redhat-ca.crt: no such file or directory 解决方案
mhx123456789的博客
08-27 376
open /etc/docker/certs.d/registry.access.redhat.com/redhat-ca.crt: no such file or directory 解决方案
kubernetes 部署附带解决(open /etc/docker/certs.d/registry.access.redhat.com/redhat-ca.crt: no such file)
二哈欢乐多的博客
11-18 3635
kubernetes 官方提供的三种部署方式 minikube Minikube是一个工具,可以在本地快速运行一个单点的Kubernetes,仅用于尝试Kubernetes或日常开发的用户使用。部署地址:https://kubernetes.io/docs/setup/minikube/ kubeadm Kubeadm也是一个工具,提供kubeadm init和kubea...
docker私有使用签名证书和身份验证控制访问(数据传输加密和身份验证)(centos7)(4)
renfeigui0的博客
01-19 621
一、服务器安装docker,且已下载仓镜像 二、私有服务器100使用签名证书和身份验证方式创建容器 三、客户端120测试上传、下载镜像 四、使用web界面浏览、删除docker私有镜像
Docker 生产环境之安全性 - 用证书验证仓客户端
kikajack的博客
03-17 2223
原文地址在 通过 HTTPS 运行 Docker 中可以知道,默认情况下 Docker 通过非联网的 Unix 套接字运行,为了使 Docker 客户端和守护进程可以安全的通过 HTTPS 通信,必须开启 TLSTLS 可以认证 registry 端点,并将进出 registry 的流量加密。本文演示如何确保 Docker registry 服务器与 Docker 守护进程之间的流量经过加密,并
Portainer -- Docker可视化管理工具的安装配置使用
热门推荐
Aurora Silent
12-12 5万+
Portainer介绍Portainer是Docker的图形化管理工具,提供状态显示面板、应用模板快速部署、容器镜像网络数据卷的基本操作(包括上传下载镜像,创建容器等操作)、事件日志显示、容器控制台操作、Swarm集群和服务等集中管理和操作、登录用户管理和控制等功能。功能十分全面,基本能满足中小型单位对容器管理的全部需求。下载Portainer镜像# 查询当前有哪些Portainer镜像 docke
docker私有化部署
07-27
你可以使用签名证书或购买一个有效的证书。将证书和私钥放置在适当的位置,并在Docker Registry的启动命令中指定证书路径。 4. 配置客户端:在需要使用私有Docker Registry的机器上,你需要配置Docker客户端以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值