【云原生】docker安全与https加密的超文本传输协议CA证书生成

最新推荐文章于 2024-05-03 22:35:39 发布
最新推荐文章于 2024-05-03 22:35:39 发布
阅读量1.1k 收藏 21
点赞数 21
文章标签: 云原生 docker 安全 https 容器 运维 分布式
csdn~lxy
本文链接:https://blog.csdn.net/liu_xueyin/article/details/135953709
版权
本文详细阐述了Docker安全注意事项,比较了HTTP与HTTPS的区别,解释了为何使用SSL证书,以及HTTPS单向和双向认证流程。还介绍了如何从阿里云、mkcert和openssl获取和验证HTTPS证书,并提供了Nginx配置示例。
摘要由CSDN通过智能技术生成

目录

一、docker安全

二、http与https的区别

三、为什么要使用 SSL 证书?

四、https证书认证的过程

https单向认证的访问流程

https双向认证的访问流程

五、如何获取证书?

六、实操获取证书并验证

1、通过阿里云获取证书

2、通过mkcert获取证书

3、通过openssl获取证书

一、docker安全

docker容器使用安全注意点:
尽量别做的事:

  • 尽量不用 --privileged 运行容器(授权容器root用户拥有宿主机的root权限)
  • 尽量不用 --network host 运行容器(使用host网络模式共享宿主机的网络命名空间)
  • 尽量不在容器中运行 ssh 服务
  • 尽量不把宿主机系统的关键敏感目录挂载到容器中


尽量要做的事:

  • 尽量使用较小体积的镜像
  • 尽量以单一应用进程运行容器
  • 尽量在容器中使用最新稳定版本的应用
  • 尽量安装使用最新稳定版本的docker
  • 尽量以最低权限运行容器
  • 尽量使用官方提供的镜像或自己构建的镜像
  • 尽量给docker目录(默认/var/lib/docker/)分配独立的文件系统
  • 尽量以资源限制的方式运行容器 -m  --memory-swap  --cpu-quota   --cpu-shares --cpuset-cpus   --device-write-bps
  • 尽量以只读的方式挂载数据卷,持久化容器数据到宿主机的除外     -v 宿主机目录:容器数据卷目录:ro
  • 尽量设置容器的重启策略和次数   --restart always|on-failure:N
  • 尽量对镜像进行漏洞扫描

二、http与https的区别

HTTP与HTTPS的区别如下:

  1. 加密与安全性:HTTP是明文传输,数据在传输过程中容易被篡改和窃取;HTTPS通过SSL或TLS协议对数据进行加密传输,保证数据传输的安全性
  2. 数据完整性:HTTP没有提供数据完整性的保护机制,容易受到中间人攻击;HTTPS使用消息摘要算法来确保数据的完整性
  3. 身份验证:HTTP没有提供身份验证机制;HTTPS使用数字证书来验证服务器的身份
  4. 端口号HTTP使用的是80端口;HTTPS使用的是443端口

三、为什么要使用 SSL 证书?

HTTP协议无法加密数据,数据传输可能产生泄露、篡改或钓鱼攻击等问题,而启用HTTPS后,可帮助Web服务器和网站间建立可信的HTTPS协议加密链接,为网站安全加锁,保证数据安全传输。

四、https证书认证的过程

https单向认证的访问流程

 https的单向认证流程:
0)服务端会事先通过CA签发证书和私钥文件
1)客户端发送https请求到服务端的443端口
2)服务端会先返回一个包含公钥、证书有效期、CA机构等信息的证书给客户端
3)客户端受到服务端发来的证书后,会先用本地的CA证书校验服务端证书的有效性,如果证书有效,则继续,否则告警
4)客户端发送自己可支持的对称加密方案给服务端
5)服务端会选择加密程度最高的方案,并通过明文方式发送给客户端(与双向认证的核心区别)
6)客户端使用选择的加密方案生成随机会话密钥并通过证书中的公钥进行加密,再发送给服务端
7)服务端会用私钥进行解密获取客户端发来的随机会话密钥,并使用这个会话密钥加密要返回的报文,再发送给客户端
8)客户端也是这个会话密钥进行解密获取服务端返回的数据,之后双方可继续这个会话密钥进行加密和解密来实现密文通信

https双向认证的访问流程

https的双向认证流程:
0)服务端和客户端会事先通过CA签发服务端证书和私钥文件
1)客户端发送https请求到服务端的443端口
2)服务端会先返回一个包含公钥、证书有效期、CA机构等信息的证书给客户端
3)客户端收到服务端发来的证书后,会先用本地的CA证书校验服务端证书的有效性,如果证书有效,再将包含公钥的客户端证书发送给服务端
4)服务端收到客户端证书后也会校验证书的有效性,客户端还会发送自己可支持的对称加密方案给服务端
5)服务端会选择加密程度最高的方案,并通过客户端证书里的公钥加密后发送给客户端
6)客户端使用私钥解密获取选择的加密方案,并使用此加密方案生成随机会话密钥,再通过服务端证书中的公钥进行加密,再发送给服务端
7)服务端会用私钥进行解密获取客户端发来的随机会话密钥,并使用这个会话密钥加密要返回的报文,再发送给客户端
8)客户端也是这个会话密钥进行解密获取服务端返回的数据,之后双方可继续这个会话密钥进行加密和解密来实现密文通信

五、如何获取证书?

1)在阿里云、华为云、腾讯云等云服务商那里申请一年有效期的免费证书或者购买证书
2)在本地使用 openssl、mkcert、cfssl、certbot(Let's Encrypt)的工具生成本地私钥证书

六、实操获取证书并验证

1、通过阿里云获取证书

https://www.aliyun.com/product/cas?userCode=r3yteowb
##阿里云购买数字证书

2、通过mkcert获取证书

[root@localhost ~]#mkdir mkcert_list
[root@localhost ~]#cd mkcert_list/
[root@localhost ~/mkcert_list]#mkcert www.xueyin.com

[root@localhost ~/mkcert_list]#ls
www.xueyin.com-key.pem  www.xueyin.com.pem

 

    server {
        listen       443 ssl; #SSL访问端口号为 443
        server_name  www.xueyin.com; #指定绑定证书的域名
        root         /usr/share/nginx/html;
        ssl_certificate /root/mkcert_list/www.xueyin.com.pem; #指定服务端证书文件路径
        ssl_certificate_key /root/mkcert_list/www.xueyin.com-key.pem; #指定服务端私钥文件路径
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #指定SSL服务器端支持的协议版本
        ssl_prefer_server_ciphers  on;
...
}

 

3、通过openssl获取证书

//用 ca 证书签发 server 端证书
创建服务器私钥
openssl genrsa -out server-key.pem 4096

生成证书签名请求文件(csr文件)
openssl req -new -key server-key.pem -sha256 -subj "/CN=*" -out server.csr

创建ca私钥
openssl genrsa -out ca-key.pem 4096		
----------------------------------------------------------------------------------------------------------
genrsa:使用RSA算法产生私钥
-aes256:使用256位密钥的AES算法对私钥进行加密,这样每次使用私钥文件都将输入密码,可省略
-out:输出文件的路径,若未指定输出文件,则为标准输出
4096:指定私钥长度,默认为1024。该项必须为命令行的最后一项参数
----------------------------------------------------------------------------------------------------------

创建ca证书
openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem			#输入123123
----------------------------------------------------------------------------------------------------------
req:执行证书签发命令
-new:新证书签发请求
-x509:生成x509格式证书,专用于创建私有CA时使用
-days:证书的有效时长,单位是天
-key:指定私钥路径
-sha256:证书摘要采用sha256算法
-subj:证书相关的用户信息(subject的缩写)
-out:输出文件的路径
----------------------------------------------------------------------------------------------------------

使用ca 证书与私钥证书签发服务端签名证书,输入 123123,(需要签名请求文件,ca 证书,ca 密钥)
openssl x509 -req -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -days 1000 -out server-cert.pem
----------------------------------------------------------------------------------------------------------
x509:生成x509格式证书
-req:输入csr文件
-in:要输入的csr文件
-CA:指定ca证书的路径
-CAkey:指定ca证书的私钥路径
-CAcreateserial:表示创建证书序列号文件,创建的序列号文件默认名称为ca.srl
----------------------------------------------------------------------------------------------------------

准备nginx的测试文件

    server {
        listen       443 ssl;
        server_name  www.benet.com;
        ssl_certificate /root/openssl/server-cert.pem;
        ssl_certificate_key /root/openssl/server-key.pem;
        ssl_session_timeout  5m;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;

        location ~ \.html$ {
            root   html;
            index  index.html index.htm;
        }
    }

 

运维菜鸟XY
关注
  • 21
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
docker——tls(ssl)加密通信
Yusheng9527的博客
03-16 1886
docker——tls(ssl)加密通信DockerClient端与DockerDaemon的通信安全https证书)背景使用证书访问的工作流程部署思路证书创建过程环境准备创建一个存放目录生成ca证书1)创建ca私钥2)创建ca证书ca证书签发server端证书1)创建服务器私钥2)生成证书签名请求文件(csr文件)3)使用ca证书与私钥证书签发服务端签名证书ca证书签发client端证书1)生成客户端私钥2)生成证书签名请求文件3)创建扩展配置文件,使秘钥适合客户端身份验证4)使用ca证书签发客户
云原生docker实战
最新发布
07-17
云原生docker实战
Go-docker-mkcert用于创建有效本地ssl证书Docker容器
08-14
docker-mkcert:用于创建有效本地ssl证书Docker容器
docker容器加密访问的方法
ling的专栏
01-08 9339
对于宿主主机能够操作docker的账号拥有很大的权限,它可以进入宿主主机的所有容器中,因为容器本身的进出是不能加密的。 这种情况在开发测试中不愿意被看到的,可行的办法就是把编辑代码所用的账号和拥有docker权限的账号分开,然后通过ssh的方式登录测试容器环境。 一、容器安装ssh 进入容器中 1.直接安装ssh apt-get update apt-get install openssh-server 如果安装ssh报如下错误: E: Sub-process /usr/bin/dpkg
Docker部署nginx并启用https加密连接
qq_64612585的博客
05-03 1316
在当今互联网时代,安全性成为越来越重要的议题。随着网络攻击日益猖獗,保护数据和通信的安全性变得至关重要。在这种背景下,对于在 Docker 中运行 Nginx 是否需要使用 HTTPS 这一问题,我们需要考虑到网络安全的重要性以及 HTTPS 协议所提供的加密和认证功能。接下来,让我们深入探讨为什么在 Docker 中运行 Nginx 时使用 HTTPS 是至关重要的。
证书知识简单介绍
肉面飞龙的博客
07-17 1014
证书有2种格式:PEM(base64格式)、DER(二进制)crt、cer都为证书证书包含公钥,crt常见linux、cer常见windows) csr为证书请求文件 pfx、p12为带证书的私钥 pem为base64格式的文件 der为二进制格式的文件 http://blog.sina.com.cn/s/blog_3d5517850102w2rs.html一、生成私钥:生成des3加密
https双向认证
qq_37079898的博客
08-21 3537
双向认证,顾名思义,客户端和服务器端都需要验证对方的身份,在建立HTTPS连接的过程中,握手的流程比单向认证多了几步。单向认证的过程,客户端从服务器端下载服务器端公钥证书进行验证,然后建立安全通信通道。双向通信流程,客户端除了需要从服务器端下载服务器的公钥证书进行验证外,还需要把客户端的公钥证书上传到服务器端给服务器端进行验证,等双方都认证通过了,才开始建立安全通信通道进行数据传输。
云原生Docker和K8S 02-Docker进阶
08-08
云原生Docker和K8S 02-Docker进阶 本资源主要讲解了如何使用Jenkins和Docker进行自动化构建和部署,涵盖了从连接服务器到安装Jenkins和Docker的所有步骤。以下是本资源的知识点总结: 1. 连接服务器:使用ssh命令...
云原生-DockerDocker Compose微服务部署示例
04-12
java运维 ,微服务平台使用Docker compose部署案例,并附文件代码及注意事项。
云原生-docker操作文档
11-06
"云原生-docker操作文档" 这篇操作文档主要介绍了云原生Docker相关的知识点,涵盖了Docker的历史、基础概念、核心原理、应用场景、高级应用、运维管理等方面。 Docker的历史 Docker是在2010年由dotCloud创立的...
Docker 开启SSL证书加密远程链接
01-07
Docker 开启SSL证书加密远程链接1. 使用openssl 制作证书密钥1.1. 在服务器中新建目录/etc/docker,并切换到该目录下1.2. 创建根证书RSA私钥:1.3. 创建CA证书1.4. 创建服务端私钥1.5. 创建服务端签名请求证书文件...
HTTPS双向认证指南(亲测可行)
springdk2009的博客
03-17 1933
HTTPS双向认证方式通信在一些安全级别较高的场景非常有用,拥有合法证书的客户端才能正常访问业务。实现这个场景需要以下几步:生成根公钥证书和私钥文件(root.crt/root.key);使用根证书和根证书私钥(root.crt/root.key)配合服务器端私钥颁发服务器端证书(server.crt);使用根证书和根证书私钥(root.crt/root.key)配合客户端私钥颁发客户端证书(server.crt);
Docker 安全加密系统
LI_MINGXUAN的博客
03-31 1066
Docker 安全一.Docker 容器与虚拟机的区别二.Docker 存在的安全问题1.Docker 自身漏洞2. Docker 源码问题三.Docker 架构缺陷与安全机制1. 容器之间的局域网攻击2. DDoS 攻击耗尽资源3. 有漏洞的系统调用4. 共享root用户权限四.Docker 安全基线标准1.内核级别2.主机级别3.网络级别4.镜像级别5.容器级别6.其他设置五.Docker remote api 访问控制六.限制流量流向七.镜像安全八.Docker-TLS加密通讯 一.Docker 容器
在Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书
树下一少年的博客
01-07 8685
本文基于Linux上CentOS 7版本配合openssl与mod_ssl(需要使用yum下载)进行配置演 在Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书 一.生成认证主要流程 1.虚拟出一个CA认证机构,生成公私钥以及自签证书 2.生成服务器方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书 3.生成客户端方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书 4.生成证书 二.具体过程 1.虚拟CA机构方生成内容 2.服务器方生成 3.客户端方生成
docker仓库(三)仓库的搭建及官方私有仓库的加密认证
cjzcc1996的博客
07-10 530
在生产环境中,有些环境下可能是不被允许连接外网的,所以此时我们就需要搭建一个本地的私有仓库。我们也可以在docker官网创建一个账号,可以把我们本地的镜像上传到官网:Docker Hub 创建账户后,在本机登陆刚刚创建的账号: 用户的登录信息将会保存到用户主目录下 .docker 中,这样就可以保证后面我们不需要频繁的login: 在网页端创建仓库:在本机 先更改tag和仓库信息,然后再push上传: 可以看到在我们刚刚创建的仓库里面已经有我们上传的镜像了:我们也可以登出docker:首先进入aliyun
颁发证书的时候报错:
大数据
05-20 1370
1.报错内容 ca.srl: No such file or directory [root@VMXXX-XXX xlj]# openssl x509 -req -in $FILE.csr -CA ca.crt -CAkey ca.key -days $EXPIRE -out ${FILE}.crt Signature ok subject=C = CN, ST = beijing, L = beijing, O = xlj, O = sale, CN = www.xlj.com Getting CA Pr
将一个简单的python程序打包成加密docker镜像并对外提供接口
热门推荐
uncle_yiba的博客
04-23 2万+
环境:python2.7   docker:一、一个简单的python程序既然是一个简单的python程序,那我们就实现一个简单的加法功能即可。#coding=utf-8 import random def add(aStr,bStr):     map={}     try:         a=float(aStr)         b=float(bStr)         sum=a+...
Openssl创建自签名CA(转载)
u011893782的博客
05-20 2375
How to setup your own CA with OpenSSL For educational reasons I’ve decided to create my own CA. Here is what I learned. First things first Lets get some context first. Public Key Cryptography AKA asymmetric cryptography solves the problem of two entities c
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

运维菜鸟XY

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值