docker建立TLS证书连接

最新推荐文章于 2024-05-05 18:08:20 发布
最新推荐文章于 2024-05-05 18:08:20 发布
阅读量988 收藏 2
点赞数 3
文章标签: docker TLS docker加密 证书 docker配置
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a7758775/article/details/102858113
版权

使用TLS证书保护Docker

当我们使用远程调用docker时,未设置TLS的docker,将可以被任何人调用,这是极其危险的。

docker原生提供了使用TLS证书(客户端和服务端)进行安全保证。

创建证书

使用openssl来创建CA,并签署秘钥/证书。
首先创建一个certs目录,并内置三个子目录 ca、client、server。

$ mkdir -p ~/certs/{ca,client,server}

运行openssl创建CA秘钥和证书,并将CA证书保存在~/certs/ca 目录下。

$ openssl genrsa -out ~/certs/ca/ca-key.pem 2048
$ openssl req -x509 -new -nodes -key ~/certs/ca/ca-key.pem \ -days 10000 -out ~/certs/ca/ca.pem -subj '/CN=docker-CA'

创建一个用于client的openssl配置文件~/certs/client/openssl.cnf

[req]
req_extensions = v3_req
distinguished_name = req_distinguished_name
[req_distinguished_name]
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth, clientAuth

再创建一个用于server的openssl配置文件~/certs/server/openssl.cnf
alt_names中的ip为Docker Server的ip,即client需要访问的ip,若有多个docker服务,此处填写多个,否则client将无法访问Docker Server。

[req]
req_extensions = v3_req
distinguished_name = req_distinguished_name
[req_distinguished_name]
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth, clientAuth
subjectAltName = @alt_names

[alt_names]
DNS.1 = docker.local
IP.1 = 192.168.9.1
IP.2 = 192.168.9.2

为客户端创建并签署证书

$ openssl genrsa -out ~/certs/client/key.pem 2048
$ openssl req -new -key ~/certs/client/key.pem -out ~/certs/client/cert.csr \
    -subj '/CN=docker-client' -config ~/certs/client/openssl.cnf
$ openssl x509 -req -in ~/certs/client/cert.csr -CA ~/certs/ca/ca.pem \
    -CAkey ~/certs/ca/ca-key.pem -CAcreateserial \
    -out ~/certs/client/cert.pem -days 365 -extensions v3_req \
    -extfile ~/certs/client/openssl.cnf

为服务端创建并签署证书

$ openssl genrsa -out ~/certs/server/key.pem 2048
$ openssl req -new -key ~/certs/server/key.pem \
    -out ~/certs/server/cert.csr \
    -subj '/CN=docker-server' -config ~/certs/server/openssl.cnf
$ openssl x509 -req -in ~/certs/server/cert.csr -CA ~/certs/ca/ca.pem \
    -CAkey ~/certs/ca/ca-key.pem -CAcreateserial \
    -out ~/certs/server/cert.pem -days 365 -extensions v3_req \
    -extfile ~/certs/server/openssl.cnf

此时,所有证书已经创建完毕,目录结构如下:
├── ca
│ ├── ca-key.pem
│ ├── ca.pem
│ └── ca.srl
├── client
│ ├── cert.csr
│ ├── cert.pem
│ ├── key.pem
│ └── openssl.cnf
└── server
├── cert.csr
├── cert.pem
├── key.pem
└── openssl.cnf

在Docker中配置TLS证书

查看配置文件位置

$ systemctl show --property=FragmentPath docker

FragmentPath=/lib/systemd/system/docker.service
在配置文件中开启TLS,并配置服务端证书,将上一步生成好的server证书和ca.pem拷贝至/etc/docker/ssl。
docker.service:

ExecStart=/usr/bin/dockerd-current -H tcp://0.0.0.0:2375 -H unix://var/run/docker.sock \
          --add-runtime docker-runc=/usr/libexec/docker/docker-runc-current \
          --default-runtime=docker-runc \
          --exec-opt native.cgroupdriver=systemd \
          --userland-proxy-path=/usr/libexec/docker/docker-proxy-current \
          --init-path=/usr/libexec/docker/docker-init-current \
          --seccomp-profile=/etc/docker/seccomp.json \
	  --tlsverify \
	  --tlscacert=/etc/docker/ssl/ca.pem \
	  --tlscert=/etc/docker/ssl/cert.pem \
	  --tlskey=/etc/docker/ssl/key.pem \
          $OPTIONS \
          $DOCKER_STORAGE_OPTIONS \
          $DOCKER_NETWORK_OPTIONS \
          $ADD_REGISTRY \
          $BLOCK_REGISTRY \
          $INSECURE_REGISTRY \
	  $REGISTRIES

重新加载systemd和Docker服务

$ sudo systemctl daemon-reload
$ sudo systemctl restart docker

此时,Docker Server端的TLS配置已经完成。

在客户端中使用TLS证书

未使用TLS证书访问Docker Server

docker -H tcp://192.168.9.1:2376 version

Client:
Version: 17.03.0-ce
API version: 1.26
Go version: go1.7.5
Git commit: 3a232c8
Built: Tue Feb 28 08:10:07 2017
OS/Arch: linux/amd64
Get http://101.37.164.86:3257/v1.26/version: malformed HTTP response “\x15\x03\x01\x00\x02\x02”.
Are you trying to connect to a TLS-enabled daemon without TLS?

使用TLS证书访问DockerServer

$ docker --tlsverify --tlscacert=./ca.pem   --tlscert=./client/cert.pem --tlskey=./client/key.pem -H tcp://192.168.9.1:2376 version

Client:
Version: 17.03.0-ce
API version: 1.26
Go version: go1.7.5
Git commit: 3a232c8
Built: Tue Feb 28 08:10:07 2017
OS/Arch: linux/amd64
Server:
Version: 17.03.1-ce
API version: 1.27 (minimum version 1.12)
Go version: go1.7.5
Git commit: c6d412e
Built: Mon Mar 27 17:14:09 2017
OS/Arch: linux/amd64
Experimental: false

以上。

止步观远景
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DockerTLS 认证
记录了,但是完全不会。
07-05 635
使用脚本快速创建TLS证书并部署到Docker服务,解决2375端口引发的安全漏洞。
Linux开启Docker远程访问并设置安全访问(证书密钥)
D的博客
08-01 1099
然后依次输入:访问密码、国家、省、市、组织名称、单位名称、随便一个名字、邮箱等。HOST是你的IP或者域名,使用时将HOST替换为自己的IP或者域名。防止密钥文件被误删或者损坏,我们改变一下文件权限,让它只读就可以。证书就创建完成了,然后我们还需要去创建服务器密钥和证书签名请求()了,确保“通用名称”与你连接Docker时使用的主机名相匹配。守护程序的主机上(也就是本机),生成CA私钥和公钥。防止证书损坏,我们也删除它的写入权限。证书文件夹选择你存放证书的文件夹。我们首先获取我服务器上的证书
Docker远程访问安全问题与TLS配置并通过IDEA连接
最新发布
qq_52726195的博客
05-05 710
保存ca.pem、cert.pem、key.pem、server-cert.pem、server-key.pem这五个文件,将ca.pem、server-cert.pem、server-key.pem保存至服务器自定义位置。将ca.pem、cert.pem、key.pem下载保存到电脑,我保存在了D://Software/Docker/cert下。执行过程中要求输入pass phrase,输入一个自定义的密码即可,比如987654321,需要多次输入,保持一致即可。记得修改path为文件实际所在位置。
Docker开启TLS认证
qq_35156626的博客
12-21 691
修复Docker远程API调用漏洞,启用TLS认证
Docker允许远程tcp访问并配置tls验证
DemingLiu的博客
08-07 226
docker开启远程访问,自签ssl证书,开启tls验证
docker开启TLS远程访问 2376
lms99251的博客
07-18 1797
docker开启TLS远程访问的方法
Docker启用TLS实现安全配置的步骤
09-29
2. **生成TLS证书和密钥** 在Docker服务器上,首先需要创建一个自签名的根证书颁发机构(CA)。这可以通过`openssl`命令行工具完成: - 使用`openssl genrsa`生成一个4096位的AES256加密的私钥(`ca-key.pem`)。 ...
Crypt-LE:Crypt :: LE-让我们在Perl中加密Buypass ACME客户端和库,以获取免费的SSL证书(包括生成RSAECC密钥和CSR)。 开箱即用地支持HTTPDNS验证,可通过插件轻松扩展,可轻松进行dockerized
02-05
4. **ACME客户端**:ACME(Automatic Certificate Management Environment)是一种协议,用于自动化SSL/TLS证书的申请、验证和更新过程。 5. **安全证书**:安全证书,如SSL证书,是网络服务器上安装的电子文档,...
DropBoxProject:项目
02-17
建立连接到数据库的和反向代理HTTPS服务器的的应用程序。 需要设置以下环境变量: TLS用于管理ssl证书的ACME帐户使用的电子邮件地址,或使用的"internal" TLS 服务器的DOMAIN主机名 要在本地测试,您可以运行TLS=...
MQTT工具包及安装说明
04-26
在实际开发中,还需要考虑安全因素,如使用SSL/TLS加密连接,设置用户名和密码进行身份验证,以及使用TLS证书进行服务器身份验证,以保护数据安全。 总的来说,MQTT工具包和安装说明是开发者快速构建和测试MQTT...
kubernetes进行二进制安装用到所有文件
03-28
3. **配置TLS**:生成或导入必要的证书和密钥,为Kubernetes组件建立安全通信。 4. **启动etcd**:部署etcd服务并确保其正常运行。 5. **配置kubelet**:在每台机器上配置kubelet,并设置相应的环境变量。 6. **启动...
使用TLS加密通讯远程连接Docker的示例详解
01-20
默认情况下,Docker 通过非联网 UNIX 套接字运行。它还可以使用 HTTP 套接字进行可选通信。 如果需要以安全的方式通过网络访问 Docker,可以通过指定标志将 Docker 标志指向受信任的 CA 证书来启用 TLS。 在守护程序模式下,它只允许来自由该 CA 签名的证书验证的客户端的连接。在客户端模式下,它仅连接到具有该 CA 签名的证书的服务器。 # 创建CA证书目录 [root@localhost ~]# mkdir tls [root@localhost ~]# cd tls/ # 创建CA密钥 [root@localhost tls]# openssl genrsa
docker远程连接证书生成步骤
hjg719的博客
09-26 1187
docker证书生成步骤
docker证书文件生成+Idea使用证书连接docker
寂寞GOD的博客
08-12 757
docker开放端口后只要知道ip和端口号就可以随意管理镜像和容器非常不安全,生成环境中要使用证书连接管理docker
docker添加证书认证
u010826341的博客
04-28 2951
docker添加证书认证
docker 生成TLS认证证书
martin_violet的博客
04-14 2207
docker ssl TSL 证书
DockerTLS认证
qq_27858615的博客
07-28 1441
dockerTLS认证
通信安全—docker建立客户端与服务端TLS证书连接
清晨@暖阳
08-08 596
通信安全—docker建立客户端与服务端TLS证书连接一、TLS证书的作用二、创建证书1、创建目录2、创建私钥3、创建证书4、创建扩展配置文件三、签署证书四、Docker中配置TLS证书五、测试 一、TLS证书的作用 在远程上调用Docker时,若没有设置TLS证书,那么docker能被所有人调用,而TLS的作用就是限制指定的主机对Docker进行远程调用,从而保证docker的安全。 二、创建证书 使用openssl来创建CA,并签署秘钥/证书。 1、创建目录 首先创建一个certs目录,并
DockerTLS配置文档
08-12
您好!以下是DockerTLS配置文档: ...通过使用TLS证书和密钥,您可以保护Docker守护进程和与之通信的客户端之间的通信安全性。请确保妥善保管生成的证书和密钥文件,并仅将其提供给受信任的实体。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值