Docker 开启 SSL 验证

于 2024-05-23 15:44:09 发布
阅读量1k 收藏 20
点赞数 26
分类专栏: Java 学习之路 文章标签: docker ssl 容器 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baihuaeryue/article/details/139149847
版权

最近看 OJ 项目的远程开发阶段,然后踩坑踩了 2 天😂

Docker 版本:在 CentOS 安装 sudo yum install docker-ce-20.10.9 docker-ce-cli-20.10.9 containerd.io

Client: Docker Engine - Community
 Version:           20.10.9
 API version:       1.41
 Go version:        go1.16.8
 Git commit:        c2ea9bc
 Built:             Mon Oct  4 16:08:25 2021
 OS/Arch:           linux/amd64
 Context:           default
 Experimental:      true

Server: Docker Engine - Community
 Engine:
  Version:          20.10.9
  API version:      1.41 (minimum version 1.12)
  Go version:       go1.16.8
  Git commit:       79ea9d3
  Built:            Mon Oct  4 16:06:48 2021
  OS/Arch:          linux/amd64
  Experimental:     false
 containerd:
  Version:          1.6.31
  GitCommit:        e377cd56a71523140ca6ae87e30244719194a521
 runc:
  Version:          1.1.12
  GitCommit:        v1.1.12-0-g51d5e94
 docker-init:
  Version:          0.19.0
  GitCommit:        de40ad0

SpringBoot 版本: 2.7.14

Java-Docker 依赖

<!-- https://mvnrepository.com/artifact/com.github.docker-java/docker-java -->
<dependency>
    <groupId>com.github.docker-java</groupId>
    <artifactId>docker-java</artifactId>
    <version>3.3.4</version>
</dependency>
<!-- https://mvnrepository.com/artifact/com.github.docker-java/docker-java-transport-httpclient5 -->
<dependency>
    <groupId>com.github.docker-java</groupId>
    <artifactId>docker-java-transport-httpclient5</artifactId>
    <version>3.3.4</version>
</dependency>

不设置 SSL 认证

vim /usr/lib/systemd/system/docker.service

主要添加 -H tcp://0.0.0.0:2376 进去,只需要修改这个位置就好了

image-202405101444190211

然后重启 Docker 服务

systemctl daemon-reload
systemctl restart docker

然后查看是否守护线程启动成功

systemctl status docker.service

image-20240510144732486

Java 调用代码

	 // 获取默认的 Docker Client
    DockerClientConfig config = DefaultDockerClientConfig.createDefaultConfigBuilder()
            .withDockerHost("tcp://服务器IP:2376")
            .build();
    DockerHttpClient httpClient = new ApacheDockerHttpClient.Builder()
            .dockerHost(config.getDockerHost())
            .maxConnections(100)
            .connectionTimeout(Duration.ofSeconds(30))
            .responseTimeout(Duration.ofSeconds(45))
            .build();
    DockerClient dockerClient = DockerClientImpl.getInstance(config, httpClient);
    PingCmd pingCmd = dockerClient.pingCmd();
    pingCmd.exec();

配置 SSL 验证

官方文档

需要注意一点 官方文档写的 TLS 应该在 2376 端口,这里之前踩了大坑(之前一直使用 2375 一直不行)

当然我们需要开启服务器的2376 端口的防火墙(和宝塔如果有的话)!!!

image-20240510174255904

将以下示例中 $HOST 的所有实例替换为 Docker 守护程序主机(服务器 IP)

首先创建存储相关信息的文件夹

mkdir -p /usr/local/certs.d/dockerd/ca
cd /usr/local/certs.d/dockerd/ca

让后在这个文件夹下面执行对应的命令

$ openssl genrsa -aes256 -out ca-key.pem 4096
Generating RSA private key, 4096 bit long modulus
..............................................................................++
........++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem:
Verifying - Enter pass phrase for ca-key.pem:

$ openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
Enter pass phrase for ca-key.pem:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code): CN
State or Province Name (full name)[]: Beijing 
Locality Name (eg, city) []: Beijing
Organization Name (eg, company) [Internet Widgits Pty Ltd]: China
Organizational Unit Name (eg, section) []: developer
Common Name (e.g. server FQDN or YOUR name) []:$HOST
Email Address []: 填写邮箱

$ openssl genrsa -out server-key.pem 4096
Generating RSA private key, 4096 bit long modulus
.....................................................................++
.................................................................................................++
e is 65537 (0x10001)

$ openssl req -subj "/CN=$HOST" -sha256 -new -key server-key.pem -out server.csr

接下来,我们将使用我们的 CA 签署公钥:

这里官方文档使用了 DNS 我们可以不写

$ echo subjectAltName = IP:$HOST,IP:127.0.0.1 >> extfile.cnf

$ echo extendedKeyUsage = serverAuth >> extfile.cnf

openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out server-cert.pem -extfile extfile.cnf
Signature ok
subject=/CN=your.host.com
Getting CA Private Key
Enter pass phrase for ca-key.pem:

$ openssl genrsa -out key.pem 4096
Generating RSA private key, 4096 bit long modulus
.........................................................++
................++
e is 65537 (0x10001)

$ openssl req -subj '/CN=client' -new -key key.pem -out client.csr

$ echo extendedKeyUsage = clientAuth > extfile-client.cnf

$ openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out cert.pem -extfile extfile-client.cnf
Signature ok
subject=/CN=client
Getting CA Private Key
Enter pass phrase for ca-key.pem:

删除一些不重要的文件

rm -v client.csr server.csr extfile.cnf extfile-client.cnf

修改文件的权限

$ chmod -v 0400 ca-key.pem key.pem server-key.pem
$ chmod -v 0444 ca.pem server-cert.pem cert.pem

最后

vi /etc/docker/daemon.json

填写相关内容

{
    "registry-mirrors": ["https://mirror.ccs.tencentyun.com"],
    "tls": true,
    "tlscacert": "/usr/local/certs.d/dockerd/ca/ca.pem",
    "tlscert": "/usr/local/certs.d/dockerd/ca/server-cert.pem",
    "tlskey": "/usr/local/certs.d/dockerd/ca/server-key.pem"
}

然后重启 Docker 服务

systemctl daemon-reload
systemctl restart docker

然后查看是否守护线程启动成功

systemctl status docker.service

image-20240510175932066

测试连通性

我们需要在服务器上下载下面三个文件 ca.pemkey.pemcert.pem 就在 /usr/local/certs.d/dockerd/ca目录下

PS 执行这个命令的时候我们需要在 ssl 目录里面放入这三个文件

curl https://服务器IP:2376/version --cert cert.pem --key key.pem  --cacert ca.pem

image-20240510181817369

Java 调用代码

─src
│  ├─main
│  │  ├─java
│  │  └─resources
│  │      ├─ca 文件放在这个目录下

而且文件的名称需要下面这三个名称即 ca.pemkey.pemcert.pem

image-20240510180633477

   		URL url = ClassLoaderUtil.getClassLoader().getResource("ca");
        DockerClientConfig config = DefaultDockerClientConfig.createDefaultConfigBuilder()
                .withDockerHost("tcp://服务器 IP :2376")
                .withDockerTlsVerify(true)
            	// 下面三个参数不加也能运行成功
                // .withRegistryPassword("密码")
                // .withRegistryUsername("用户名")
                // .withRegistryEmail("邮箱")
                // 这里如果不截取的话会报错 url.getPath()结果是 /E:/yuoj-code-sandbox-master/target/classes/ca 
            	// 多一个 / 所以要截取,截取之后才不会报错
                .withDockerCertPath(url.getPath().substring(1)) 
                .build();
        DockerHttpClient httpClient = new ApacheDockerHttpClient.Builder()
                .dockerHost(config.getDockerHost())
            	// 这里不要忘了啊,如果不加的话就会是 Status 400: Client sent an HTTP request to an HTTPS server 
                .sslConfig(config.getSSLConfig())
                .maxConnections(100)
                .connectionTimeout(Duration.ofSeconds(30))
                .responseTimeout(Duration.ofSeconds(45))
                .build();
        DockerClient dockerClient = DockerClientImpl.getInstance(config, httpClient);
        PingCmd pingCmd = dockerClient.pingCmd();
        pingCmd.exec();

报错小结

1、这里如果 Docker 版本过高会报一下错误 {“message”:“client version 1.23 is too old. Minimum supported API version is 1.24, please upgrade your client to a newer version”}

解决办法:降低服务器 Docker 版本

2、还有一个报错 Cannot pull images when logged in to Docker Desktop (Status 500: unauthorized: incorrect username or password)

这个报错解决方法是,在 Docker 上登录一个账号就行了

3、报错信息 Status 400: Client sent an HTTP request to an HTTPS server

解决办法:首先确定 .sslConfig(config.getSSLConfig()) 写了没有,其次在确认一下公钥私钥证书是否放到了对应的目录下面

leikooo
关注
  • 26
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
docker安装nginx支持ssl 实现https访问(完整版)
pingzhuyan的博客
05-04 2449
> docker实用(安装/操作)专栏传送门 linux普通方式安装nginx并支持ssl
Docker MySQL开启SSL加密传输方案
醒狮运维:热爱IT运维的老攻城狮们
03-21 2381
Docker MySQL开启SSL加密传输方案 产品:Docker MySQL 版本: 5.6 环境: CentOS Linux 7 文章目录Docker MySQL开启SSL加密传输方案方案背景变更内容变更范围变更影响风险评估实施方案变更检验回退方案 方案背景 根据等保要求,生产数据库需开启SSL加密传输功能,避免以明文方式在网络中传输敏感信息,防止信息泄露; 变更内容 序号 变更步骤 操作时长 1 检查数据库SSL状态 2分钟 2 备份数据库参数文件 5分钟 3 创建SSL
Dockerfile的构建镜像及ssl证书配置
qq_40260565的博客
12-19 2662
Dockerfile的构建镜像及ssl证书配置前言一、pom中配置docker插件二、Dockerfile配置三、目录结构四、证书生成五、参考过的文章 前言 本篇文章主要记录如何在docker file中配置ssl证书 一、pom中配置docker插件 <build> <plugins> <plugin> <groupId>com.spotify</groupId>
Docker版SQLServer使用
WinJay
10-10 223
Docker版SQLServer使用 参考指南 Docker 命令大全Docker 操作命令详解 https://learn.microsoft.com/zh-cn/sql/linux/sql-server-linux-docker-container-deployment?view=sql-server-ver16&pivots=cs1-bas...
Docker 搭建本地 https 环境
m69zhuang的博客
09-09 1660
来测试您的应用程序。请注意,由于使用的是自签名证书,您可能会收到浏览器的安全警告。首先,生成自签名的 SSL 证书和私钥。可以使用 OpenSSL 命令来生成。现在,您的本地 Docker 环境已经搭建好了 HTTPS。文件相同的目录中创建一个名为。这个命令将会生成一个私钥文件。
Docker 开启SSL证书加密远程链接
01-07
Docker 开启SSL证书加密远程链接1. 使用openssl 制作证书密钥1.1. 在服务器中新建目录/etc/docker,并切换到该目录下1.2. 创建根证书RSA私钥:1.3. 创建CA证书1.4. 创建服务端私钥1.5. 创建服务端签名请求证书文件...
Docker开启远程访问的实现
09-30
主要介绍了Docker开启远程访问的实现,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
群晖中docker开启ssh.docx
09-13
群晖中 Docker 开启 SSH 在群晖中使用 Docker 需要开启 SSH 服务,以便于远程管理容器。下面将详细介绍如何在群晖的 Docker开启 SSH 服务。 首先,需要了解 Docker 的设计理念。Docker 的设计之初就是每个 ...
Docker开启远程安全访问的图文教程详解
09-29
Docker开启远程安全访问教程】 Docker 是一个流行的开源容器化平台,它允许开发者打包应用和服务,并在任何地方运行。然而,默认情况下,Docker守护进程仅监听本地接口,不允许远程访问。本教程将详细解释如何...
docker-haproxy-ssl
06-09
docker-haproxy-ssl 精益 (8MB) HAProxy + SSL 终止 Docker 镜像,基于progrium/busybox 。 当前软件 HAProxy 1.5.11-patch02 先决条件 Docker 1.5.0+(使用 boot2docker 测试) 跑步 docker run -d -p 80:80 -p ...
sslscan_docker_image:运行sslscan的精益,已编译,单点关注,Docker映像
02-09
sslscan_docker_image 全功能SSLScan实施。 精益求精。 CI / CD的构建,监视和维护。 从最新的稳定来源新鲜编译。 干净,从头开始的图像。 单关注容器。 以与本机SSLScan相同的方式docker run ,只需添加docker docker run前缀即可。 docker run --rm blairy/sslscan 可以为SSLScan命令添加alias sslscan="docker run --rm blairy/sslscan" : alias sslscan="docker run --rm blairy/sslscan" 添加到“ $ HOME / .bashrc”以使别名永久化。 命令示例: 泊坞窗运行--rm blairy / sslscan -version 泊坞窗运行--rm blairy / sslscan --s
Docker安装ElasticSearch8.X docker安装elasticsearch8.X完整详细教程
半只
07-11 6485
在新安装的情况下,您需要设置一个初始的内置用户以及相关的登录凭据。表示 指定 Elasticsearch 节点在单节点模式下运行,即启动一个独立的 Elasticsearch 实例而不是一个多节点集群。端口:是用于Elasticsearch节点之间的内部通信和数据传输的端口,也称为传输层端口。端口:用于HTTP REST API与Elasticsearch进行通信和操作的端口。表示 es-head访问端口,开启主机与容器端口映射。端口,访问宿主机端口的时候会映射到对应容器端口。容器启动之后使用浏览器访问。
Docker私有镜像仓库搭建及SSL配置
Aubrey.J的博客
08-17 1155
docker私有仓库搭建及SSL配置 实践已完美运行1个月,而且还在使用,本文章大概讲述了docker私有仓库的使用场景,需要的环境,已经配置方法,使用方法,访问仓库地址、API,上传docker镜像、拉取docker镜像 还有搭建docker私有镜像仓库过程中本人对原理的理解 Centos、nginx、registry docker仓库使用命令时,提示错误http: server gave HTTP response to HTTPS client.
测试环境搭建整套大数据系统(十一:docker部署superset,无密码登录嵌入html,http改为https)
最新发布
weixin_43446246的博客
03-12 657
参考文档。
Docker 配置SSL证书加密远程链接 Remote/Rest API
举个栗子の不容易的博客
02-27 1万+
Docker 开启SSL证书加密远程链接1. 使用openssl 制作证书密钥1.1. 在服务器中新建目录/etc/docker,并切换到该目录下1.2. 创建根证书RSA私钥:1.3. 创建CA证书1.4. 创建服务端私钥1.5. 创建服务端签名请求证书文件1.6. 创建签名生效的服务端证书文件1.7. 创建客户端私钥1.8. 创建客户端签名请求证书文件1.9. 创建extfile.cnf的配置...
Docker】使用SSL证书加密远程连接(附IDEA连接教程)
pcdd's blog
10-24 8360
如果只是自己的虚拟机做快速演示,比如idea连接docker,可以直接开启端口,无需加密,节省时间 公网环境严禁直接暴露端口,机器会被挖矿! vim /usr/lib/systemd/system/docker.service 改为 ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock -H tcp://0.0.0.0:2376 1.编写shell脚本,命名为docker_cert.sh #!/b
docker部署https
热门推荐
python_web全栈
04-02 1万+
1 生成挂载的目录 生成配置文件挂载的目录 生成证书挂载的目录 mkdir /opt/docker/nginx/conf.d -p mkdir /opt/docker/nginx/cert -p 2 上传证书到cert目录 2.1 获取证书(阿里云) 进入阿里云控制台 点击SSL证书安装 点击左侧菜单栏,SSL 点击免费证书申请(个人版有20个免费) 申请之后,点击创建, 然后再次申请 根据提示填写,域名最好填写,你买的一级域名 下载nginx版本的证书 解压上传到,先前创建好的
docker nginx ssl
10-17
您可以使用 Docker 镜像来运行 Nginx 并启用 SSL。首先,您需要创建一个自定义的 Nginx 配置文件,其中包括 SSL 证书和密钥的路径。然后,您可以使用以下命令来启动 Nginx 容器: ``` docker run -d -p 80:80 -p ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值