centos7 docker使用证书

最新推荐文章于 2024-09-13 18:11:31 发布
最新推荐文章于 2024-09-13 18:11:31 发布
阅读量2k 收藏 2
点赞数
分类专栏: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lanwp5302/article/details/99486235
版权

环境

docker:1.13.1+
centos7

1.生成ca证书

#!/usr/bin/env bash
# -------------------------------------------------------------
# 自动创建 Docker TLS 证书
# -------------------------------------------------------------
:<<!
author: lanwp
date: 2019/4/17
des:    docker tls数字证书创建。
        subjectAltName 不设置服务器端subjectAltName不设置(不校验 serverIP,所有服务器均可用)
        subjectAltName 设置多个 subjectAltName = DNS:docker166,IP:192.168.72.166,IP:127.0.0.1
    自动创建 Docker TLS 证书
    
    服务器证书
        ca.pem
        server-cert.pem
        server-key.pem
    客户端使用
        cert.pem
        ca.pem
        key.pem
!
    
PASSWORD="123456" #私钥密码
DAYS=36500
#IP=""
    
COUNTRY="CN"
STATE="省" # 省 可选
CITY="市" # 市 可选
ORGANIZATION="公司名称" # 组织 可选
ORGANIZATIONAL_UNIT="Dev" # 组织-单位可选
COMMON_NAME="test"  # 域名或者IP,必须填写
EMAIL="test@163.com" # 可选 test@163.com
    
function noCode() {
#---
# 创建ca-key.pem 和 ca.pem
#openssl genrsa -out ca-key.pem 4096
openssl genrsa -aes256 -passout "pass:${PASSWORD}" -out ca-key.pem 4096  # -passout "pass:$PASSWORD" 不用输入私钥privateKey
openssl req -new -x509 -days ${DAYS} -key "ca-key.pem" -sha256 -out "ca.pem" -passin "pass:${PASSWORD}" -subj "/C=${COUNTRY}/ST=${STATE}/L=${CITY}/O=${ORGANIZATION}/OU=${ORGANIZATIONAL_UNIT}/CN=${COMMON_NAME}/emailAddress=${EMAIL}"
    
#---
# Generate Server key
openssl genrsa -out "server-key.pem" 4096
# Generate Server Certs.
openssl req -subj "/CN=$COMMON_NAME" -sha256 -new -key "server-key.pem" -out server.csr
    
# echo subjectAltName = DNS:docker166,IP:192.168.72.166,IP:127.0.0.1 >> extfile.cnf
# echo "subjectAltName = IP:$IP,IP:127.0.0.1" >> extfile.cnf
echo "extendedKeyUsage = serverAuth" >> extfile.cnf
# Generate server-cert.pem
openssl x509 -req -days ${DAYS} -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf -passin "pass:${PASSWORD}"
    
rm -f extfile.cnf
    
#---
# Generate Cient
openssl genrsa -out "key.pem" 4096
    
openssl req -subj '/CN=client' -new -key "key.pem" -out client.csr
echo extendedKeyUsage = clientAuth >> extfile.cnf
openssl x509 -req -days 365 -sha256 -in client.csr -passin "pass:${PASSWORD}" -CA "ca.pem" -CAkey "ca-key.pem" -CAcreateserial -out "cert.pem" -extfile extfile.cnf
    
rm -vf client.csr server.csr extfile.cnf
    
chmod -v 0400 ca-key.pem key.pem server-key.pem
chmod -v 0444 ca.pem server-cert.pem cert.pem
}
    
# 保存目录
setSaveCaDir() {
# 运行脚本的路径   当前运行脚本文件名basename和目录dirname
local BASE_PATH = $PWD
if [ -d "$BASE_PATH/ssl" ];then
    echo "文件夹存在"
else
    echo "文件夹不存在"
    mkdir $PWD/ssl
fi
mkdir /root/.docker/
cd $PWD/ssl
}
    
# setSaveCaDir
mkdir /root/.docker/ && cd /root/.docker/ 
noCode

2.配置daemon.json

cat <<EOF > /etc/docker/daemon.json 
{
  "registry-mirrors": ["http://hub-mirror.c.163.com"],
  "hosts": ["tcp://0.0.0.0:2376", "unix:///var/run/docker.sock"],
  "tlsverify": true,
  "tlscacert": "/root/.docker/ca.pem",
  "tlscert": "/root/.docker/server.pem",
  "tlskey": "/root/.docker/server-key.pem"
}

重启docker 让配置生效

systemctl restart docker

3. 验证

使用root 用户执行

方式一

curl -k https://127.0.0.1:2376/images/json --cert ~/.docker/cert.pem --key ~/.docker/key.pem --cacert ~/.docker/ca.pem


curl -k https://127.0.0.1:2376/images/json \
      --cert ~/.docker/cert.pem \
      --key ~/.docker/key.pem \
      --cacert ~/.docker/ca.pem

方式二

命令

 docker -H 127.0.0.1 ps

例子

[root@localhost ~]# docker -H 127.0.0.1 ps
Get http://127.0.0.1:2375/v1.26/containers/json: net/http: HTTP/1.x transport connection broken: malformed HTTP response "\x15\x03\x01\x00\x02\x02".
* Are you trying to connect to a TLS-enabled daemon without TLS?

# 正常
[root@localhost ~]# docker --tls -H 127.0.0.1 ps 
CONTAINER ID        IMAGE                                           COMMAND                  CREATED             STATUS              PORTS                                                  NAMES
089aaa126aa8        kibana:6.8.2                                    "/usr/local/bin/ki..."   29 hours ago        Up 40 minutes       0.0.0.0:5601->5601/tcp                                 kibana
2047a90b277b        elasticsearch:6.8.2                             "/usr/local/bin/do..."   29 hours ago        Up 40 minutes       0.0.0.0:9200->9200/tcp, 0.0.0.0:9300->9300/tcp         elasticsearch
2baaae6c4d9f        dimmaryanto93/logstash-input-jdbc-mysql:6.6.0   "/usr/local/bin/do..."   2 days ago          Up 40 minutes       0.0.0.0:5044->5044/tcp, 0.0.0.0:9600->9600/tcp         logstash6-mysql
d9a998876509        redis:5.0.5                                     "docker-entrypoint..."   6 days ago          Up 40 minutes       0.0.0.0:6379->6379/tcp                                 some-redis
e4722d3396c6        zookeeper:3.5.5
中国lanwp
关注
专栏目录
Docker 部署 FastDFS 和 CentOS 7 源码部署 FastDFS
TechEnthusiast的博客
05-27 103
FastDFS 是一个分布式文件系统,可以用于存储和管理各种文件。在本文中,我们将介绍如何使用 Docker 和源码两种方式来部署 FastDFS。
docker远程登陆证书安装
An_jiangzhi的博客
07-26 405
1.安装Docker CE 之前需要删除Docker 旧版本 yum remove docker docker-common docker-selinux docker-engine 2.安装Docker 所需的软件包,yum-utils提供了yum-config-manager效用,并device-mapper-persistent-data和lvm2由需要 devicemapper存储驱动程序 yum install -y yum-utils device-mapper-persistent-d
Docker的安全屏障(CA证书
zhuwei的博客
08-04 1185
Docker安全及日志管理前言一、Docker容器和虚拟机的区别性能损耗隔离与共享docker安全问题自身漏洞源码缺陷三、docker 安全缺陷DDOS攻击资源耗尽系统漏洞共享root用户权限局域网攻击四、docker 安全基线标准内核级别主机级别网络级别镜像级别容器级别其他设置五、docker安全配置api远程访问控制限制流量流向创建CA证书 前言 一、Docker容器和虚拟机的区别 性能损耗 与虚拟机相比,容器资源损耗要少。同样的宿主机下,能够建立容器的数量要比虚拟机多。但是,虚拟机的安全性要比容器稍好
Docker_CA认证原理及配置
最新发布
weixin_42307664的博客
09-13 918
python通过CA认证方式连接docker
Cenots7安装docker私有仓库,配置ssl证书
Jason_i7的博客
07-25 101
4、安装需要的软件包, yum-util 提供yum-config-manager功能,另外两个是devicemapper驱动依赖的。2、创建服务器证书密钥文件server.key,会提示输入密码,确认密码,用于管理证书使用,一要要记住,后面会用到。即:/etc/docker/certs.d/目录新建/10.10.1.143:5000/添加证书server.crt。6、别名IP配置extfile.cnf,如果本地配置的服务之后需要使用IP访问https的服务,需要此步。7、安装docker,版本号自选。
docker添加证书认证
u010826341的博客
04-28 3002
docker添加证书认证
使用Docker创建Let‘s Encrypt SSL证书
baidu_39340547的博客
03-21 3110
如果你的网站还在非https下裸奔,那你肯定out了,过去SSL证书价格昂贵,但今天我们很幸运Let‘s Encrypt为我们提供了免费的证书服务,本文主要介绍如何利用docker-compose运行certbot免污染主机环境的申请SSL证书、Nginx下证书的安装以及证书更新。
使用docker在CentOS 7上安装php+mysql+nginx环境教程并运行WordPress
faith306
07-30 1393
使用docker在Linux服务器上安装php+mysql+nginx的环境,并运行一个WordPress系统,最后,还将http免费升级为https
docker centos7 使用
tiny_lxf的博客
09-06 669
docker 安装和启动:http://www.runoob.com/docker/centos-docker-install.html   运行一个web应用 前面我们运行的容器并没有一些什么特别的用处。 接下来让我们尝试使用 docker 构建一个 web 应用程序。 我们将在docker容器中运行一个 Python Flask 应用来运行一个web应用。 runoob@runo...
Centos7安装docker compse踩过的坑及解决方法
09-30
在CentOS 7环境下安装Docker Compose可能会遇到一些问题和挑战,本文将详细记录安装过程中的步骤、遇到的问题及其解决方法,帮助感兴趣的读者顺利安装和使用Docker Compose。 首先,我们先来理解Docker Compose是...
Centos7使用Docker
shareloke
07-29 518
Docker基本命令 yum install docker:安装docker(centeros7可以,8版本不支持) systemctl start docker:启动docker systemctl stop docker:停止docker docker -v:查看docker版本号 systemctl enable docker:设置docker开机自启动 Docker常用操作 docker search 关键字:搜索docker hub上是否有对应的镜像 docker pull 镜像名
docker 生成TLS认证证书
martin_violet的博客
04-14 2295
docker ssl TSL 证书
docker生成ssl证书(按步骤来即可,真实可用)
guochengabcd的博客
09-06 2277
docker生成证书
centos7/6.9 docker-ce-17/1.7.1使用证书登陆(openssl tls)
技术博客
11-15 1513
生成证书 ca key openssl genrsa -aes256 -out ca-key.pem 4096 ca openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem server key openssl genrsa -out server-key.pem 4096 生成server 证书 openssl re
CentOS7下安装配置Docker | 并创建镜像提交到DockerHub
PushyTao的博客
04-28 2630
本文目录step1 Docker下载安装step2 设置docker启动dockerstep3 docker基本操作开启docker查找镜像拉取镜像构建镜像创建脚本文件创建Dockerfile构建运行step4 Docker Hub账户创建step5 创建仓库提交镜像登录dockerHub创建仓库给镜像打标签查看镜像提交镜像信息查看 step1 Docker下载安装 yum -y install docker 当安装结束之后,输入docker version查看版本: 第一次下载之后,只显示Clie
【云原生】Docker 安全与CA证书生成
xnxqwzy的博客
03-26 1241
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
Centos7安装docker-compose步骤和问题解决
weixin_44616792的博客
09-07 3293
1.确保系统已经安装了docker 2.使用以下命令来下载docker-compose curl -L "https://github.com/docker/compose/releases/download/1.26.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose 此时会遇到第一个问题,curl: (35) Peer reports incompatible or unsupported prot
Centos7 Docker使用学习
u011976751的博客
04-29 207
安装 docker (1.安装docker,2.启动docker服务 3.开机自动启动docker服务) 1 yum install docker 2 systemctl start docker.service 3 systemctl enable docker.service 拉取.net core3.1的镜像:docker pull mcr.microsoft.com/dotnet/core/aspnet:3.1 安装MySql 问题1:开启容器的时候报错 mysqld: Can't re..
https免费证书申请 、 nginx / docker 安装部署证书
tuonioooo
10-09 645
https协议是由SSL+http协议构建的安全协议,支持加密传输和身份认证, 安全性比http要更好,因为数据的加密传输,更能保证数据的安全性和完整性。所有注册的免费域名证书基本上都是一年时间,过期后需要自动续期,免费证书与付费证书的基本区别。
运维专题.Docker+Nginx服务器的SSL证书安装
jclee95的个人博客
03-13 1146
在宿主机上集中管理和在每个Docker容器内单独管理SSL证书,每种方法都有其优缺点,但对于大多数生产环境而言,在宿主机上集中管理SSL证书通常是更优的选择。本文针对于这种方案进行了具体草果过程的介绍。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值