docker远程连接证书生成步骤

最新推荐文章于 2024-04-15 05:02:53 发布
最新推荐文章于 2024-04-15 05:02:53 发布
阅读量1.1k 收藏 7
点赞数 2
文章标签: docker linux 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hjg719/article/details/127050475
版权

文章目录

服务器操作(Linux)

  1. 在任意目录创建证书文件夹,并进入该文件夹,例如

    mkdir -p /home/ca
cd /home/ca

  2. 生成ca-key.pem 文件 设置密码

    openssl genrsa -aes256 -out ca-key.pem 4096

    需要输入两次相同的密码,期间看到的提示为:

    Generating RSA private key, 4096 bit long modulus
..............................................................................................................++
..++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem:
Verifying - Enter pass phrase for ca-key.pem:

    完成后会看到文件夹里出现了 ca-key.pem 文件

  3. 生成 ca.pem 文件,设置国家、省市、组织名、邮箱

    openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem

    需要输入刚才的密码,国家填CN,其他信息可以随便填,期间看到的提示为:

    Enter pass phrase for ca-key.pem:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:xxx
Locality Name (eg, city) [Default City]:xxx
Organization Name (eg, company) [Default Company Ltd]:xxx
Organizational Unit Name (eg, section) []:xxx
Common Name (eg, your name or your server's hostname) []:xxx
Email Address []:xxxxxxx@xxx.com

    完成后会看到文件夹里出现了 ca.pem 文件

  4. 生成 server-key.pem 文件

    openssl genrsa -out server-key.pem 4096

    期间看到的其实为:

    Generating RSA private key, 4096 bit long modulus
..........................++
.............................++
e is 65537 (0x10001)

    完成后会看到文件夹里出现了 server-key.pem 文件

  5. 生成 server.csr 文件

    openssl req -subj "/CN=服务器的IP或域名" -sha256 -new -key server-key.pem -out server.csr

    没有报错的话会看到文件夹里出现了 server.csr 文件

  6. 生成配置文件 extfile.cnf

    echo subjectAltName = IP:服务器的IP,IP:0.0.0.0 >> extfile.cnf


    echo subjectAltName = DNS:服务器的域名,IP:0.0.0.0 >> extfile.cnf

    然后将Docker守护程序密钥的扩展使用属性设置为仅用于服务器身份验证

    echo extendedKeyUsage = serverAuth >> extfile.cnf

    完成后会看到文件夹里出现了 extfile.cnf文件,打开可以看到刚才输入的两行配置

  7. 生成服务器证书,需要输入之前输入的密码

    openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \-CAcreateserial -out server-cert.pem -extfile extfile.cnf

    完成后会看到文件夹里出现了 ca.srlserver-cert.pem 文件

  8. 添加配置,使密钥适合客户端身份验证

    echo extendedKeyUsage = clientAuth >> extfile.cnf

  9. 生成 key.pem 文件

    openssl genrsa -out key.pem 4096

    完成后会看到文件夹里出现了 key.pem文件

  10. 创建client.csr文件

    openssl req -subj '/CN=client' -new -key key.pem -out client.csr

    完成后会看到文件夹里出现了 client.csr文件

  11. 生成证书

    openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \-CAcreateserial -out cert.pem -extfile extfile.cnf

    完成后会看到文件夹里出现了 cert.pem 文件

  12. 删除多余文件

    rm -v -f client.csr server.csr

  13. 修改权限,要保护您的密钥免受意外损坏,请删除其写入权限。要使它们只能被您读取,更改文件模式

    chmod -v 0400 ca-key.pem key.pem server-key.pem

    删除写入权限以防止意外损坏

    chmod -v 0444 ca.pem server-cert.pem cert.pem

  14. 复制证书到指定目录

    cp server-*.pem  /etc/docker/


    cp ca.pem /etc/docker/

  15. 修改Docker配置,使Docker守护程序仅接受来自提供CA信任的证书的客户端的连接

    修改文件 /lib/systemd/system/docker.service

    将其中的

    ExecStart=/usr/bin/dockerd

    修改为

    ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock

  16. 重新加载daemon并重启docker

    systemctl daemon-reload

    然后

    systemctl restart docker

  17. 开放2376端口

    通过防火墙、或阿里云控制台等操作

  18. 重启docker

    service docker restart

开发机器操作

  1. 下载如下文件到本地:ca.pem cert.pem key.pem ,将该文件夹配置为证书文件夹
  2. 连接URL: https://服务器IP:2376

一键脚本

#创建 Docker TLS 证书
#!/bin/bash
 

SERVER="服务器IP"
PASSWORD="密码"
COUNTRY="CN"
STATE="state"
CITY="city"
ORGANIZATION="Dev"
ORGANIZATIONAL_UNIT="Dev"
EMAIL="123@139.com"

#临时文件夹
TEMP_DIR='/home/ca'

mkdir -p ${TEMP_DIR}
cd ${TEMP_DIR}

#生成`ca-key.pem` 文件 设置密码
openssl genrsa -aes256 -passout pass:${PASSWORD} -out ca-key.pem 4096 
echo "生成ca私钥完成"


#生成 `ca.pem` 文件,设置国家、省市、组织名、邮箱

openssl req -new -x509  -passin "pass:${PASSWORD}"  -days 3650 -key ca-key.pem -sha256 -out ca.pem -subj "/C=${COUNTRY}/ST=${STATE}/L=${CITY}/O=${ORGANIZATION}/OU=${ORGANIZATIONAL_UNIT}/emailAddress=${EMAIL}"
echo "填写配置信息完成"

#生成 `server-key.pem` 文件

openssl genrsa -out server-key.pem 4096

#生成 `server.csr` 文件

openssl req -subj "/CN=${SERVER}" -sha256 -new -key server-key.pem -out server.csr

#生成配置文件 `extfile.cnf` 

echo subjectAltName = IP:${SERVER},IP:0.0.0.0 >> extfile.cnf

echo extendedKeyUsage = serverAuth >> extfile.cnf

#生成服务器证书,需要输入之前输入的密码
openssl x509 -req -days 3650 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem  -passin "pass:${PASSWORD}"  \-CAcreateserial -out server-cert.pem -extfile extfile.cnf

echo "生成自签证书完成"

#添加配置,使密钥适合客户端身份验证
echo extendedKeyUsage = clientAuth >> extfile.cnf
#生成 `key.pem` 文件
openssl genrsa -out key.pem 4096
#创建`client.csr`文件
openssl req -subj '/CN=client' -new -key key.pem -out client.csr
#生成证书
openssl x509 -req -days 3650 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -passin "pass:${PASSWORD}" \-CAcreateserial -out cert.pem -extfile extfile.cnf
echo "生成client自签证书完成"
rm -v -f client.csr server.csr
chmod -v 0400 ca-key.pem key.pem server-key.pem
chmod -v 0444 ca.pem server-cert.pem cert.pem
echo "复制证书到指定目录"
cp server-*.pem  /etc/docker/
cp ca.pem /etc/docker/

systemctl daemon-reload 
systemctl restart docker
银之石
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Docker 开启SSL证书加密远程链接
ptxrq的博客
08-01 712
Docker 开启SSL证书加密远程链接
使用keytool生成双向认证仓库及证书
qq_38981656的博客
05-16 1241
生成服务端自签名证书 root@master01:/home/casa/cer-test# keytool -genkey -alias tlsServer -keysize 2048 -validity 365 -keyalg RSA -dname "CN=localhost" -keypass server -storepass server -keystore server.jks Warning: The JKS keystore uses a proprietary format. It ..
docker生成ssl证书(按步骤来即可,真实可用)
guochengabcd的博客
09-06 2166
docker生成证书
Docker开启并配置远程安全访问_docker开启远程访问,网络安全开发究竟该如何学习
最新发布
2401_83947255的博客
04-15 878
授权插件提供了更细粒度的控制,以补充来自双向TLS的身份验证。除了上述描述的其他信息外,在Docker守护进程上运行的授权插件还接收用于连接Docker客户端的证书信息。或者域名,都是将来对外开放的地址,也就是用于连接的地址。即可,这个文件影响到ca颁发的证书的序号,而证书序号应该是唯一的,所以这点需要控制好。注意:为了简化接下来的几个步骤,我们可以在Docker守护进程的主机上执行此步骤。为了防止密钥文件被误删或者损坏,我们可以改变一下文件权限,让它只读就可以。为了防止证书损坏,我们也删除它的写入权限。
Docekr 建立 Tls 证书安全连接(idea测试)
Is210416的博客
03-11 270
该博客目的是在服务器docker生成并开启Tls证书加密连接,并使用本地idea测试远程安全连接。
Docker的安全屏障(CA证书
zhuwei的博客
08-04 898
Docker安全及日志管理前言一、Docker容器和虚拟机的区别性能损耗隔离与共享docker安全问题自身漏洞源码缺陷三、docker 安全缺陷DDOS攻击资源耗尽系统漏洞共享root用户权限局域网攻击四、docker 安全基线标准内核级别主机级别网络级别镜像级别容器级别其他设置五、docker安全配置api远程访问控制限制流量流向创建CA证书 前言 一、Docker容器和虚拟机的区别 性能损耗 与虚拟机相比,容器资源损耗要少。同样的宿主机下,能够建立容器的数量要比虚拟机多。但是,虚拟机的安全性要比容器稍好
Docker开启远程安全访问的图文教程详解
09-29
### 安全考虑:配置Docker远程访问的安全措施 **警告:** 不推荐在生产环境中直接使用上述步骤,因为它将Docker API暴露在互联网上,存在严重的安全风险。正确的做法是启用基于证书的TLS加密。 #### 1. 创建CA...
Docker启用TLS实现安全配置的步骤
09-29
Docker启用TLS(Transport Layer Security)是保护Docker守护进程套接字安全的重要步骤,它为Docker远程API提供加密和身份验证,防止未授权访问和数据泄露。TLS是一种广泛使用的网络安全协议,用于确保网络通信的...
使用docker -v 和 Publish over SSH插件实现war包自动部署到docker的操作步骤
09-30
通过以上步骤,每次Jenkins构建完成并生成新的WAR包时,`Publish over SSH`插件会自动将文件传输到远程服务器的指定目录,并执行预设的命令。如果该目录已与Docker容器挂载,那么容器内的应用会自动更新,实现无中断...
群晖中docker开启ssh.docx
09-13
群晖中 Docker 开启 SSH 在群晖中使用 Docker 需要开启 SSH 服务,以便于远程管理容器。...通过安装 openssh 服务、编辑配置文件、生成证书信息、启动服务和设置密码等步骤,可以成功地开启 SSH 服务。
VSCODE远程在docker容器进行gdb调试 · 语雀.pdf
07-12
本文主要介绍如何使用VSCode远程在docker容器进行gdb调试,包括远程登录、安装插件、设置免密登录、配置launch.json文件等步骤。 一、远程登录 1. 点击活动栏remote_ssh图标,点击新增,并填入username@ip。 2. ...
【云原生】Docker 安全与CA证书生成
xnxqwzy的博客
03-26 1036
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
docker添加证书认证
u010826341的博客
04-28 2952
docker添加证书认证
docker 生成TLS认证证书
martin_violet的博客
04-14 2208
docker ssl TSL 证书
docker证书文件生成+Idea使用证书连接docker
寂寞GOD的博客
08-12 757
docker开放端口后只要知道ip和端口号就可以随意管理镜像和容器非常不安全,生成环境中要使用证书来连接管理docker
Docker 生产环境之安全性 - 用证书验证仓库客户端
kikajack的博客
03-17 2266
原文地址在 通过 HTTPS 运行 Docker 中可以知道,默认情况下 Docker 通过非联网的 Unix 套接字运行,为了使 Docker 客户端和守护进程可以安全的通过 HTTPS 通信,必须开启 TLS。TLS 可以认证 registry 端点,并将进出 registry 的流量加密。本文演示如何确保 Docker registry 服务器Docker 守护进程之间的流量经过加密,并
Dockerfile 中使用keystore命令导入证书
云原生,DevOps,Kubernetes
12-22 1715
导入证书需要交互式输入y,这个是关键: sh -c '/bin/echo -e “y” RUN sh -c '/bin/echo -e "y" | keytool -import -trustcacerts -alias xxx -file $JAVA_HOME/xxx.cer -keystore $JAVA_HOME/jre/lib/security/cacerts -storepass password'
远程docker服务器携带证书连接
m0_72758098的博客
04-08 835
此形式是自己给自己签发证书,自己就是CA机构,也可以交给第三方机构去签发小编在这里分享些我自己平时的学习资料,由于篇幅限制,pdf文档的详解资料太全面,细节内容实在太多啦,所以只把部分知识点截图出来粗略的介绍,每个小节点里面都有更细化的内容!程序员代码面试指南 IT名企算法与数据结构题目最优解这是” 本程序员面试宝典!书中对IT名企代码面试各类题目的最优解进行了总结,并提供了相关代码实现。
Docker安装SSL,获取密钥及证书
fhzhu830的博客
10-05 1762
之前弄的在Docker上安装SSL,然后生成密钥及证书的过程,下面记录一下。 (1)使用docker安装ssl,启动容器后,将证书密钥提取出来。 1)安装项目 https://github.com/daniftodi/rabbitmq-ssl-mng-docker 2)安装说明生成证书和密钥。 3)从docker中取出来。 (2)使用CMF-AMQP-Configuration-master项目生成证书以及密钥; (3)安装相关依赖包: yum install curl-devel exp
docker连接远程gitlab实现多人合并开发
06-13
要在 Docker 中连接远程 GitLab 实现多人合并开发,你需要遵循以下步骤: 1. 首先,每个开发人员都需要在 GitLab 上创建一个账户,并获取他们的 SSH 公钥。他们可以使用以下命令生成 SSH 公钥: ``` ssh-keygen ``` 然后,将公钥添加到 GitLab 中。在 GitLab 的用户设置中,找到 "SSH Keys" 选项卡,并将公钥复制到其中。 2. 然后,你需要在 Docker 中安装 Git 和 SSH 工具。可以使用以下命令安装: ``` apt-get update apt-get install git ssh ``` 3. 接下来,将 GitLab 的 SSH 私钥添加到 Docker 中。每个开发人员都需要将他们的 GitLab SSH 私钥复制到 Docker 中的 `/root/.ssh` 目录下,并设置权限: ``` mkdir -p /root/.ssh chmod 700 /root/.ssh cp /path/to/private/key /root/.ssh/id_rsa chmod 600 /root/.ssh/id_rsa ``` 将 `/path/to/private/key` 替换成该开发人员的 GitLab SSH 私钥的路径。 4. 然后,每个开发人员都可以克隆 GitLab 项目到 Docker 中。他们可以使用以下命令: ``` git clone git@gitlab.com:your-repo.git /workspace/your-repo ``` 将 `git@gitlab.com:your-repo.git` 替换成 GitLab 项目的 SSH 地址。 5. 开发人员可以在 Docker 中编辑和提交代码,并将代码推送到 GitLab 仓库中。他们可以使用以下命令提交代码: ``` git add . git commit -m "commit message" git push origin master ``` 其中,`commit message` 是提交信息。 6. 当一个开发人员提交了代码后,其他开发人员可以使用以下命令将代码拉取到 Docker 中: ``` git pull origin master ``` 这将拉取 GitLab 仓库中最新的代码,并将其合并到 Docker 中的本地代码库中。 7. 如果有多个开发人员同时修改了同一个文件,可能会导致合并冲突。此时,开发人员需要使用以下命令解决合并冲突: ``` git checkout master git pull origin master git merge other-branch ``` 其中,`other-branch` 是其他开发人员的分支名称。这将合并其他开发人员的代码,解决合并冲突。 8. 如果开发人员需要在 Docker创建一个新分支,可以使用以下命令: ``` git checkout -b new-branch ``` 其中,`new-branch` 是新分支的名称。 9. 最后,当代码准备好合并时,可以在 GitLab 上创建一个合并请求。其他开发人员可以查看合并请求并进行审查,然后将其合并到主分支中。 以上是在 Docker 中连接远程 GitLab 实现多人合并开发的步骤

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值