Docker通过SSL限制访问

最新推荐文章于 2024-08-08 10:47:53 发布
最新推荐文章于 2024-08-08 10:47:53 发布
阅读量2.7k 收藏 4
点赞数 2
分类专栏: 操作系统 文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ailian_f/article/details/105479821
版权

如果有人给你说需要配置docker的ssl,那么你需要知道的是,他是想限制docker的访问权限,还是需要给域名的ssl证书做配置,给域名对应的ssl证书做配置,可参考nginx容器的配置。

下面是给docker做访问权限,以方便开发人员在开发的过程中使用IDEA快速访问docker,并做到安全访问(通过HTTPS协议)

注意:最好先升级一下:yum install systemd-* -y,避免安装过程中的遇到各种坑

创建一个存放OpenSSL证书的文件夹存放公钥和秘钥,并进入

mkdir -p /usr/local/ca

cd /usr/local/ca/

1、新建一个目录,在目录执行以下命令,输入两次密码,需要记住后面会用到

openssl genrsa -aes256 -out ca-key.pem 4096

2、执行以下命令,输入密码,然后依次输入国家是 CN,省例如是Shanghai、市Shanghai、组织名称、组织单位、姓名或服务器名、邮件地址,都可以随意填写

openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem

3、执行生成服务器端key证书文件

openssl genrsa -out server-key.pem 4096

4、ip需要换成自己服务器的外网ip地址,或者域名都可以

openssl req -subj "/CN=16.21.2.234" -sha256 -new -key server-key.pem -out server.csr

5、配置白名单,多个用逗号隔开,例如: IP:10.211.55.10,IP:0.0.0.0,这里需要注意,虽然0.0.0.0可以匹配任意,但是仍然需要配置你的服务器外网ip,如果省略会造成错误

echo subjectAltName = IP:10.211.55.10,IP:0.0.0.0 >> extfile.cnf

6、把 extendedKeyUsage = serverAuth 键值设置到extfile.cnf文件里,限制扩展只能用在服务器认证

echo extendedKeyUsage = serverAuth >> extfile.cnf

7、执行以下命令,输入之前设置的密码,然后会生成签名的证书

openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \-CAcreateserial -out server-cert.pem -extfile extfile.cnf

8、生成例如idea等客户端需要用到的密钥文件

openssl genrsa -out key.pem 4096

9、生成客户端签名请求需要用到的临时文件

openssl req -subj '/CN=client' -new -key key.pem -out client.csr

10、继续设置证书扩展属性

echo extendedKeyUsage = clientAuth >> extfile.cnf

11、输入之前的密码生成认证证书,生成正式签名证书

openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \-CAcreateserial -out cert.pem -extfile extfile.cnf

12、删除生成的临时文件

rm -rf client.csr server.csr

13、修改证书为只读权限保证证书安全

chmod -v 0400 ca-key.pem key.pem server-key.pem

chmod -v 0444 ca.pem server-cert.pem cert.pem

14、复制服务端需要用到的证书到docker配置目录下便于识别使用:

cp server-cert.pem ca.pem server-key.pem /etc/docker/

15、修改docker配置

如果是离线手动安装的docker,通常情况下是这个文件:vim /etc/systemd/system/docker.service

在线安装:vim /usr/lib/systemd/system/docker.service

然后修改 ExecStart这一行的内容:

ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock 

16、如果是云服务器需要开启端口权限,开放防火墙的2376的端口,如果防火墙已经关闭,忽略此项

firewall-cmd --zone=public --add-port=2376/tcp --permanent

firewall-cmd --reload

17、重载服务并重启docker

systemctl daemon-reload && systemctl restart docker

18、保存证书客户端文件到本地ca.pem cert.pem key.pem

19、配置idea

点击idea第一行菜单 run 》edit configurations ,然后点击+号,添加docker配置,选择Dockerfile,

然后选择server属性,弹出docker server配置,

参考:https://blog.csdn.net/oceanyang520/article/details/101563309

会吐泡泡的小鱼儿
关注
专栏目录
Docker 开启SSL证书加密远程链接
ptxrq的博客
08-01 737
Docker 开启SSL证书加密远程链接
docker资源限制与compose
Drw_Dcm的博客
10-19 7983
docker资源限制与compose
iptables限制宿主机跟Docker IP和端口访问(安全整改)_docker容器访问主机端口 iptables
最新发布
baimao__Ch的博客
08-08 412
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
『中级篇』docker之wordpress容器SSL(番外篇)(78)
IT架构圈博客
10-14 860
原创文章,欢迎转载。转载请注明:转载自IT人故事会,谢谢! 原文链接地址:『中级篇』docker之wordpress容器SSL(番外篇)(78) 搞了2天终于搞定了,现在分享给大家。 apache2 容器内安装SSL实现wordpress证书安装。 前提 『中级篇』docker容器安装wordpress(37) 通过上边的方式已经安装了wordpress 和mysql ,可以正常的访...
基于Docker的nginx配置ssl使https访问
MacwinWin的博客
04-23 534
今天要把用docker+nginx+flask搭的服务部署到服务器上,供小程序使用,小程序只能使用https方式访问接口,故需要进行一些配置。全过程只需要配置nginx即可,flask不需要动。 容器必须把443端口打开 将ssl证书.key和.pem两个文件放入容器中可以通过docker cp命令或者挂载目录的方式; 将容器中的.key和.pem两个文件放在某目录下,比如 /etc/nginx/ssl 修改nginx配置文件 server { listen 443 ssl; ss
Docker服务器SSL远程连接
qq_23060921的博客
04-10 432
配合docker远程访问使用 将生成的server目录下的文件copy到/etc/docker 目录下。 修改文件 /lib/systemd/system/docker.service vim /lib/systemd/system/docker.service 将原来的: ExecStart=/usr/bin/dockerd -H fd:// 改为: ExecStart=/usr/bin/doc...
基于 Docker 安装 Nginx 搭建静态服务器,并配置 SSL 证书开启 HTTPS 访问
junkaione的博客
01-26 4025
在服务器使用中,使用nginx作为静态服务器是很常见的情况,该篇文章主要就是讲通过docker安装管理我们的nginx,并配置ssl证书来开启HTTPS访问
docker搭建本地免密仓库、私有仓库registry加密访问控制与web页面访问
vanvan_的博客
08-05 1052
Docker仓库简介 Docker 仓库是用来包含镜像的位置,Docker提供一个注册服 务器(Register)来保存多个仓库,每个仓库又可以包含多个 具备不同tag的镜像。 Docker运行中使用的默认仓库是 Docker Hub 公共仓库。 私有仓库 docker hub虽然方便,但是还是有限制 需要internet连接,速度慢 所有人都可以访问 由于安全...
利用docker-compose搭建Nginx以及https的访问
weixin_38312485的博客
03-06 1890
自己之前搭建了一个网站,但是一直访问的是http的方式,最近申请到了域名,于是就想着用ssl证书实现HTTPS访问的方式。 HTTPS的全称是Secure Hypertext Transfer Protocol(安全超文本传输协议),是在http协议基础上增加了使用SSL加密传送信息的协议。我们还是用天地会接头的例子来讲,大家可能觉得每 次天地会接头都是使用“地震高岗,一派西山千古秀!”这类...
docker Portainer
08-21
4. **添加访问控制**:为了保护你的 Docker 环境,你应该设置用户和角色,限制不同用户对资源的操作权限。 5. **使用插件**:根据需求,你可以安装和配置 Portainer 插件以增强其功能。 在实际应用中,Portainer ...
Docker安装SSL,获取密钥及证书
fhzhu830的博客
10-05 1811
之前弄的在Docker上安装SSL,然后生成密钥及证书的过程,下面记录一下。 (1)使用docker安装ssl,启动容器后,将证书密钥提取出来。 1)安装项目 https://github.com/daniftodi/rabbitmq-ssl-mng-docker 2)安装说明生成证书和密钥。 3)从docker中取出来。 (2)使用CMF-AMQP-Configuration-master项目生成证书以及密钥; (3)安装相关依赖包: yum install curl-devel exp
Docker 开启 SSL 验证
leikooo 的个人博客
05-23 1092
最近看 OJ 项目的远程开发阶段,然后踩坑踩了 2 天😂Docker版本:在CentOS安装版本:依赖</</</</</</</</
docker代理设置ssl证书_一文教您如何通过 Docker 搭建反向代理 Ngnix,并配置 Https SSL 证书...
weixin_39900582的博客
12-21 329
欢迎关注个人微信公众号: 小哈学Java, 每日推送 Java 领域干货文章,关注即免费无套路附送 100G 海量学习、面试资源哟!!一、背景小哈最近收到阿里云短信,提示个站 www.exception.site 的云盾 SSL 证书(Https 证书)即将到期,需要赶快续费,不然无法继续使用 Https 协议来访问网站!这个 SSL 证书当时用的是阿里云免费型的,有效期为 1 年,到期后, 如果...
docker——tls(ssl)加密通信
Yusheng9527的博客
03-16 1966
docker——tls(ssl)加密通信DockerClient端与DockerDaemon的通信安全(https证书)背景使用证书访问的工作流程部署思路证书创建过程环境准备创建一个存放目录生成ca证书1)创建ca私钥2)创建ca证书用ca证书签发server端证书1)创建服务器私钥2)生成证书签名请求文件(csr文件)3)使用ca证书与私钥证书签发服务端签名证书用ca证证书签发client端证书1)生成客户端私钥2)生成证书签名请求文件3)创建扩展配置文件,使秘钥适合客户端身份验证4)使用ca证书签发客户
Docker 容器内部无法访问外部域名解决方案
ttheng88的博客
11-16 2499
解决方法: CentOS防火墙的问题,需要允许NAT转发。 命令如下: firewall-cmd --zone=public --add-masquerade --permanent firewall-cmd --reload 最后重启docker即可 systemctl restart docker 参考:https://blog.csdn.net/vvfeng/article/details/104654375 ...
docker生成ssl证书(按步骤来即可,真实可用)
guochengabcd的博客
09-06 2238
docker生成证书
Docker 安全及日志管理(包含SSL证书)
weixin_62922268的博客
07-25 2206
目前常用的 Docker 版本都支持 Docker Daemon 管理宿主机 iptables 的,而且一旦启动进程加上 -p host_port:guest_port 的端口映射,Docker Daemon 会直接增加对应的 FORWARD Chain 并且 -j ACCEPT,而默认的 DROP 规则是在 INPUT 链做的,对 docker 没法限制,这就留下了很严重的安全隐患。3)客户端收到服务端证书后,会先用本地的CA证书校验证书的有效性,如果证书有效,则继续下一步操作,证书无效则显示告警信息。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值