centos7 docker使用证书

最新推荐文章于 2024-05-10 21:41:49 发布
最新推荐文章于 2024-05-10 21:41:49 发布
阅读量1.9k 收藏 2
点赞数
分类专栏: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lanwp5302/article/details/99486235
版权

环境

docker:1.13.1+
centos7

1.生成ca证书

#!/usr/bin/env bash
# -------------------------------------------------------------
# 自动创建 Docker TLS 证书
# -------------------------------------------------------------
:<<!
author: lanwp
date: 2019/4/17
des:    docker tls数字证书创建。
        subjectAltName 不设置服务器端subjectAltName不设置(不校验 serverIP,所有服务器均可用)
        subjectAltName 设置多个 subjectAltName = DNS:docker166,IP:192.168.72.166,IP:127.0.0.1
    自动创建 Docker TLS 证书
    
    服务器证书
        ca.pem
        server-cert.pem
        server-key.pem
    客户端使用
        cert.pem
        ca.pem
        key.pem
!
    
PASSWORD="123456" #私钥密码
DAYS=36500
#IP=""
    
COUNTRY="CN"
STATE="省" # 省 可选
CITY="市" # 市 可选
ORGANIZATION="公司名称" # 组织 可选
ORGANIZATIONAL_UNIT="Dev" # 组织-单位可选
COMMON_NAME="test"  # 域名或者IP,必须填写
EMAIL="test@163.com" # 可选 test@163.com
    
function noCode() {
#---
# 创建ca-key.pem 和 ca.pem
#openssl genrsa -out ca-key.pem 4096
openssl genrsa -aes256 -passout "pass:${PASSWORD}" -out ca-key.pem 4096  # -passout "pass:$PASSWORD" 不用输入私钥privateKey
openssl req -new -x509 -days ${DAYS} -key "ca-key.pem" -sha256 -out "ca.pem" -passin "pass:${PASSWORD}" -subj "/C=${COUNTRY}/ST=${STATE}/L=${CITY}/O=${ORGANIZATION}/OU=${ORGANIZATIONAL_UNIT}/CN=${COMMON_NAME}/emailAddress=${EMAIL}"
    
#---
# Generate Server key
openssl genrsa -out "server-key.pem" 4096
# Generate Server Certs.
openssl req -subj "/CN=$COMMON_NAME" -sha256 -new -key "server-key.pem" -out server.csr
    
# echo subjectAltName = DNS:docker166,IP:192.168.72.166,IP:127.0.0.1 >> extfile.cnf
# echo "subjectAltName = IP:$IP,IP:127.0.0.1" >> extfile.cnf
echo "extendedKeyUsage = serverAuth" >> extfile.cnf
# Generate server-cert.pem
openssl x509 -req -days ${DAYS} -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf -passin "pass:${PASSWORD}"
    
rm -f extfile.cnf
    
#---
# Generate Cient
openssl genrsa -out "key.pem" 4096
    
openssl req -subj '/CN=client' -new -key "key.pem" -out client.csr
echo extendedKeyUsage = clientAuth >> extfile.cnf
openssl x509 -req -days 365 -sha256 -in client.csr -passin "pass:${PASSWORD}" -CA "ca.pem" -CAkey "ca-key.pem" -CAcreateserial -out "cert.pem" -extfile extfile.cnf
    
rm -vf client.csr server.csr extfile.cnf
    
chmod -v 0400 ca-key.pem key.pem server-key.pem
chmod -v 0444 ca.pem server-cert.pem cert.pem
}
    
# 保存目录
setSaveCaDir() {
# 运行脚本的路径   当前运行脚本文件名basename和目录dirname
local BASE_PATH = $PWD
if [ -d "$BASE_PATH/ssl" ];then
    echo "文件夹存在"
else
    echo "文件夹不存在"
    mkdir $PWD/ssl
fi
mkdir /root/.docker/
cd $PWD/ssl
}
    
# setSaveCaDir
mkdir /root/.docker/ && cd /root/.docker/ 
noCode

2.配置daemon.json

cat <<EOF > /etc/docker/daemon.json 
{
  "registry-mirrors": ["http://hub-mirror.c.163.com"],
  "hosts": ["tcp://0.0.0.0:2376", "unix:///var/run/docker.sock"],
  "tlsverify": true,
  "tlscacert": "/root/.docker/ca.pem",
  "tlscert": "/root/.docker/server.pem",
  "tlskey": "/root/.docker/server-key.pem"
}

重启docker 让配置生效

systemctl restart docker

3. 验证

使用root 用户执行

方式一

curl -k https://127.0.0.1:2376/images/json --cert ~/.docker/cert.pem --key ~/.docker/key.pem --cacert ~/.docker/ca.pem


curl -k https://127.0.0.1:2376/images/json \
      --cert ~/.docker/cert.pem \
      --key ~/.docker/key.pem \
      --cacert ~/.docker/ca.pem

方式二

命令

 docker -H 127.0.0.1 ps

例子

[root@localhost ~]# docker -H 127.0.0.1 ps
Get http://127.0.0.1:2375/v1.26/containers/json: net/http: HTTP/1.x transport connection broken: malformed HTTP response "\x15\x03\x01\x00\x02\x02".
* Are you trying to connect to a TLS-enabled daemon without TLS?

# 正常
[root@localhost ~]# docker --tls -H 127.0.0.1 ps 
CONTAINER ID        IMAGE                                           COMMAND                  CREATED             STATUS              PORTS                                                  NAMES
089aaa126aa8        kibana:6.8.2                                    "/usr/local/bin/ki..."   29 hours ago        Up 40 minutes       0.0.0.0:5601->5601/tcp                                 kibana
2047a90b277b        elasticsearch:6.8.2                             "/usr/local/bin/do..."   29 hours ago        Up 40 minutes       0.0.0.0:9200->9200/tcp, 0.0.0.0:9300->9300/tcp         elasticsearch
2baaae6c4d9f        dimmaryanto93/logstash-input-jdbc-mysql:6.6.0   "/usr/local/bin/do..."   2 days ago          Up 40 minutes       0.0.0.0:5044->5044/tcp, 0.0.0.0:9600->9600/tcp         logstash6-mysql
d9a998876509        redis:5.0.5                                     "docker-entrypoint..."   6 days ago          Up 40 minutes       0.0.0.0:6379->6379/tcp                                 some-redis
e4722d3396c6        zookeeper:3.5.5
中国lanwp
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
docker远程登陆证书安装
An_jiangzhi的博客
07-26 361
1.安装Docker CE 之前需要删除Docker 旧版本 yum remove docker docker-common docker-selinux docker-engine 2.安装Docker 所需的软件包,yum-utils提供了yum-config-manager效用,并device-mapper-persistent-data和lvm2由需要 devicemapper存储驱动程序 yum install -y yum-utils device-mapper-persistent-d
docker 生成TLS认证证书
martin_violet的博客
04-14 2207
docker ssl TSL 证书
docker登陆报错 X509
最新发布
weixin_41152674的博客
05-10 367
Error response from daemon: Get "https://你的IP:5002/v2/": x509: certificate signed by unknown authorityy。--insecure-registry 对应habor域名。"你的IP :5002"ExecStart加上。
Docker的安全屏障(CA证书
zhuwei的博客
08-04 898
Docker安全及日志管理前言一、Docker容器和虚拟机的区别性能损耗隔离与共享docker安全问题自身漏洞源码缺陷三、docker 安全缺陷DDOS攻击资源耗尽系统漏洞共享root用户权限局域网攻击四、docker 安全基线标准内核级别主机级别网络级别镜像级别容器级别其他设置五、docker安全配置api远程访问控制限制流量流向创建CA证书 前言 一、Docker容器和虚拟机的区别 性能损耗 与虚拟机相比,容器资源损耗要少。同样的宿主机下,能够建立容器的数量要比虚拟机多。但是,虚拟机的安全性要比容器稍好
Cenots7安装docker私有仓库,配置ssl证书
Jason_i7的博客
07-25 80
4、安装需要的软件包, yum-util 提供yum-config-manager功能,另外两个是devicemapper驱动依赖的。2、创建服务器证书密钥文件server.key,会提示输入密码,确认密码,用于管理证书使用,一要要记住,后面会用到。即:/etc/docker/certs.d/目录新建/10.10.1.143:5000/添加证书server.crt。6、别名IP配置extfile.cnf,如果本地配置的服务之后需要使用IP访问https的服务,需要此步。7、安装docker,版本号自选。
docker添加证书认证
u010826341的博客
04-28 2952
docker添加证书认证
使用Docker创建Let‘s Encrypt SSL证书
baidu_39340547的博客
03-21 2479
如果你的网站还在非https下裸奔,那你肯定out了,过去SSL证书价格昂贵,但今天我们很幸运Let‘s Encrypt为我们提供了免费的证书服务,本文主要介绍如何利用docker-compose运行certbot免污染主机环境的申请SSL证书、Nginx下证书的安装以及证书更新。
docker-headphones:在 Centos 6.5 Docker 容器中运行的耳机
06-30
使用自签名证书启用通过 SSL 证书访问。需要码头工人 1.3+容器设置运行这些项目时应该公开或映射。 卷 - /var/logs/ 用于日志文件 - /mnt/media mapped to the media files映射端口 - 8081 -> 8181 耳机页面 - 9001...
CentOS7安装harbor
01-07
一、下载安装包 ... github project 这里分为在线和离线的版本,我下载的是1.8.1在线的版本 ...大多数时候,只需要修改hostname属性和https证书即可。配置完成之后再当前目录下执行./prepare,再执行./ins
CentOS7.2服务器上搭建Docker私有镜像仓库操作示例
09-30
主要介绍了CentOS7.2服务器上搭建Docker私有镜像仓库操作,结合实例形式分析了基于CentOS7.2平台docker安装、证书和密钥生成、私有镜像创建与启动等操作相关命令与使用技巧,需要的朋友可以参考下
CentOS7安装k8s-v1.13.4.docx
07-26
在CentOS 7上安装k8s v1.13.4涉及多个步骤,包括环境初始化、证书制作、配置组件和服务,以及验证安装。 **第一部分:环境初始化** **1. 环境准备:** 在开始安装之前,确保所有节点运行的是CentOS 7.6或更高版本...
centos7.x安装jumpserver2.5.3并管理使用
06-29
本文档将指导您如何在 Centos 7.x 系统上安装 JumpServer 2.5.3,并进行基本的配置和管理。JumpServer 是一个开源的堡垒机系统,提供了安全、可靠和高效的远程访问解决方案。 一、机器规划 在开始安装 JumpServer ...
docker生成ssl证书(按步骤来即可,真实可用)
guochengabcd的博客
09-06 2166
docker生成证书
centos7/6.9 docker-ce-17/1.7.1使用证书登陆(openssl tls)
技术博客
11-15 1491
生成证书 ca key openssl genrsa -aes256 -out ca-key.pem 4096 ca openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem server key openssl genrsa -out server-key.pem 4096 生成server 证书 openssl re
CentOS7下安装配置Docker | 并创建镜像提交到DockerHub
PushyTao的博客
04-28 2225
本文目录step1 Docker下载安装step2 设置docker启动dockerstep3 docker基本操作开启docker查找镜像拉取镜像构建镜像创建脚本文件创建Dockerfile构建运行step4 Docker Hub账户创建step5 创建仓库提交镜像登录dockerHub创建仓库给镜像打标签查看镜像提交镜像信息查看 step1 Docker下载安装 yum -y install docker 当安装结束之后,输入docker version查看版本: 第一次下载之后,只显示Clie
【云原生】Docker 安全与CA证书生成
xnxqwzy的博客
03-26 1036
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
https免费证书申请 、 nginx / docker 安装部署证书
tuonioooo
10-09 469
https协议是由SSL+http协议构建的安全协议,支持加密传输和身份认证, 安全性比http要更好,因为数据的加密传输,更能保证数据的安全性和完整性。所有注册的免费域名证书基本上都是一年时间,过期后需要自动续期,免费证书与付费证书的基本区别。
linux 中使用docker 配置nginx ssl证书实现https 安全访问
Amy的博客
03-26 984
1、获取nginx镜像 docker pull nginx 2、修改nginx 配置 server { listen 80;//如果强制所有的访问都必须是HTTPs的,这行需要注销掉 listen 443 ssl; server_name xxxx;//你自己的域名 # ssl on; //如果强制HTT...
docker私有仓库搭建,证书认证,鉴权管理
互扯程序的博客
03-14 3028
Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。 我们知道docker镜像可以托管到dockerhub中,跟代码库托管到github是一个道理。但如果我们不想把docker镜像公开放到dockerhub中,只想在部门或团队内部共享docker镜像,能不能像gitlab一样在搭建私有...
centos7 docker守护态
11-06
在CentOS 7上安装和配置Docker守护进程可以让用户更方便地使用Docker来构建、部署和运行应用程序。 关于Docker守护进程的安全配置项目,可以从以下几个方面入手: 1. 认证和授权:可以通过配置TLS证书使用用户名...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值