生成docker tls证书docker-client访问docker

最新推荐文章于 2024-08-05 17:39:55 发布
最新推荐文章于 2024-08-05 17:39:55 发布
阅读量746 收藏
点赞数 1
分类专栏: docker 文章标签: docker 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lr131425/article/details/112828240
版权

 

  docker所在服务端生成证书脚本 证书路径默认会放在 /etc/docker/certs,如果想生成到其他目录,修改脚本 CERTDIR变量值

参考来源 https://docs.docker.com/engine/security/https/

#创建 Docker TLS 证书
#!/bin/bash

#相关配置信息
SERVER="192.168.100.12"
PASSWORD="123123"
COUNTRY="CN"
STATE="北京市"
CITY="北京市"
ORGANIZATION="本地测试"
ORGANIZATIONAL_UNIT="Dev"
EMAIL="kerry@qq.com"

###开始生成文件###
echo "开始生成文件"

#切换到生产密钥的目录
CERTDIR=/etc/docker/certs
if [ ! -d $CERTDIR  ];then
  mkdir -p $CERTDIR
else
  
fi

cd $CERTDIR  
#生成ca私钥(使用aes256加密)
openssl genrsa -aes256 -passout pass:$PASSWORD  -out ca-key.pem 4096

#生成ca证书,填写配置信息
openssl req -new -x509 -passin "pass:$PASSWORD" -days 3650 -key ca-key.pem -sha256 -out ca.pem -subj "/C=$COUNTRY/ST=$STATE/L=$CITY/O=$ORGANIZATION/OU=$ORGANIZATIONAL_UNIT/CN=$SERVER/emailAddress=$EMAIL"

#生成server证书私钥文件
openssl genrsa -out server-key.pem 4096
#生成server证书请求文件
openssl req -subj "/CN=$SERVER" -sha256 -new -key server-key.pem -out server.csr
#使用CA证书及CA密钥以及上面的server证书请求文件进行签发,生成server自签证书
sh -c 'echo "subjectAltName = DNS:$SERVER,IP:$SERVER,IP:127.0.0.1" > extfile.cnf'
sh -c 'echo "extendedKeyUsage=serverAuth" >> extfile.cnf'
openssl x509 -req -days 3650 -in server.csr -CA ca.pem -CAkey ca-key.pem -passin "pass:$PASSWORD" -CAcreateserial  -out server-cert.pem  -extfile extfile.cnf

#生成client证书RSA私钥文件
openssl genrsa -out key.pem 4096
#生成client证书请求文件
openssl req -subj '/CN=client' -new -key key.pem -out client.csr

sh -c 'echo "extendedKeyUsage=clientAuth" > extfile-client.cnf'
#生成client自签证书(根据上面的client私钥文件、client证书请求文件生成)
openssl x509 -req -days 3650 -in client.csr -CA ca.pem -CAkey ca-key.pem  -passin "pass:$PASSWORD" -CAcreateserial -out cert.pem  -extfile extfile-client.cnf

rm -v client.csr server.csr extfile.cnf extfile-client.cnf

#更改密钥权限
chmod 0400 ca-key.pem key.pem server-key.pem
#更改密钥权限
chmod 0444 ca.pem server-cert.pem cert.pem

echo "生成文件完成"
###生成结束###

1 修改docker启动命令

vi /usr/lib/systemd/system/docker.service

ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/etc/docker/certs/ca.pen \
--tlscert=/etc/docker/certs/server-cert.pen \
--tlskey=/etc/docker/certs/server-key.pem \
-H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock \
--containerd=/run/containerd/containerd.sock

2 重新加载配置并启动

systemctl daemon-reload
systemctl restart docker

3 验证

docker --tlsverify --tlscacert=/etc/docker/certs/ca.pem \
--tlscert=/etc/docker/certs/cert.pem --tlskey=/etc/docker/certs/key.pem \
-H 192.168.100.10:2376 version

 

4 java 通过docker-client访问 。 如果应用程序和docker部署在同一机器,可以直接使用unix:///var/run/docker.sock 通信,无需证书

docker sdk列表参考  https://docs.docker.com/engine/api/sdk/

引入依赖

<dependency>
    <groupId>com.spotify<groupId>
    <artifactId>docker-client<artifactId>
    <classifier>shaded<classifier>
    <version>8.16.0<version>
</dependency>

java示例代码

public class DockerUtils {
    static DockerClient docker;

    static {
        try {
            docker = DefaultDockerClient.builder()
                    .uri(URI.create("https://192.168.100.10:2376"))
                    .dockerCertificates(new DockerCertificates(Paths.get("/etc/docker/certs/")))  //jar 部署位置所需docker服务端的证书 ca.pem,cert.pem,key.pen 三个即可
                    .build();
// 直接通过docker.sock通信
//docker = new DefaultDockerClient("unix:///var/run/docker.sock")
        } catch (DockerCertificateException e) {
            e.printStackTrace();
        }
    }


    public static boolean getImageList(){
        try {
            List<Image> quxImages = docker.listImages();
            log.info(quxImages.toString());
            return true;
        } catch (DockerException e) {
            e.printStackTrace();
        } catch (InterruptedException e) {
            e.printStackTrace();
        }
        return false;
    }

}

 

 

奔跑的窝窝牛
关注
专栏目录
Docker启用TLS实现安全配置的步骤
01-10
docker服务器,生成CA私有和公共密钥 $ openssl genrsa -aes256 -out ca-key.pem 4096 Generating RSA private key, 4096 bit long modulus .....................................................................
设置apache服务器的访问证书,支持https访问,windows
手可摘星河
07-05 376
windows下载安装openssl http://slproweb.com/products/Win32OpenSSL.html windows证书生成 安装成功后命令行执行 1.私钥,生成的文件默认在系统用户目录下 openssl genrsa -des3 -out server.key 2048 2.生成csr文件(签署申请文件)【生成证书请求文件CSR】该命令先进入交互模式...
windows下本地apache2配置ssl证书的一次记录
qq_44771533的博客
07-18 381
在window下安装OpenSSL 生成ca自签证书,server公私钥对 和 server的签名后证书 生成证书时填写的域名要和你的域名相同 (本地就是localhost), countryName、stateOrProvinceName、organizationName要保持一致 生成证书前你需要在openssl.cfg文件中找到demoCA的目录地址(也可以修改这个目录地址,然后新建一个) 新建几个文件和文件夹 certs文件夹、crl文件夹、newcerts文件夹、index.txt文件
Docker开启安全的TLS远程连接访问方式
qq_38882672的博客
08-05 101
本篇文章给大家介绍Docker开启安全的TLS远程连接,重新加载docker配置方法,教大家如何建立基于TLS数字签名的安全连接,本文给大家介绍的非常详细,需要的朋友可以参考下。如果还是不能访问,如果使用的机器是云服务器,比如阿里云、腾讯云等等,需要到服务器安全组规则中看看是否开放2375端口,如未配置,增加该端口配置即可。至此,CA证书就创建完成了,有了CA之后,就可以创建服务器密钥和证书签名请求(CSR)了,确保“通用名称”与你连接Docker时使用的主机名相匹配。一定要用域名的方式!
使用 docker-maven-plugin 插件打包发布到docker时出现 An HTTPS URI for DOCKER_HOST must be provided to use Docker
轻功水上喵丶的博客
07-12 3330
今天在撸代码时,将微服务打包到docker时出现一个异常: 百度上找了很多相关资料终于得已解决,先进行一个简单的总结: 1.首先要配置一个用于HTTPS加密的证书 一次在docker的虚拟机中输入以下内容 openssl genrsa -aes256 -out ca-key.pem 4096 openssl req -new -x509 -days 3650 -key ca-key.pem -s...
docker证书文件生成+Idea使用证书连接docker
寂寞GOD的博客
08-12 780
docker开放端口后只要知道ip和端口号就可以随意管理镜像和容器非常不安全,生成环境中要使用证书来连接管理docker
关于docker安全之Docker-TLS加密通讯问题
01-20
一、docker存在的安全问题 docker自身漏洞 作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录Docker历史版本共有超过20项漏洞。黑客常用的攻击手段主要有代码执行、权限提升、 信息泄露、权限绕过等。目前 ...
docker部署rancher证书过期问题解决方案
04-24
Rancher在Docker容器中运行时,会自动生成一个有效期为一年的SSL证书。当这个证书过期后,所有依赖于该证书的HTTPS通信,包括Kubernetes集群内部的服务,都会受到证书过期的影响,从而无法正常工作。 **异常信息** ...
基于ARM64架构CPU使用docker-compose一键离线部署etcd v3.5.15容器版分布式TLS集群工具
最新发布
08-13
1、支持SSL模式单机部署(1 etcd),证书有效期为100年。 2、支持SSL模式单机伪集群部署(3 etcd),证书有效期为100年。 3、支持SSL模式多机分布式机部署(3 etcd),证书有效期为100年。 4、支持数据目录、端口...
TLS协议分析 (五) handshake协议 证书与密钥交换
OpenIM的博客
09-07 1673
5.4. handshake — Server Certificate 当服务器确定了CipherSuite后,根据CipherSuite里面的认证算法,如果需要发送证书给客户端,那么就发送 Server Certificate消息给客户端。Server Certificate总是在ServerHello之后立即发送,所以在同一个RTT里。 Server Certificate里面包含了服务器的证书链。 消息结构: opaque ASN.1Cert<1..2^24-1>;struct {
apache ssl
ljh2895的博客
12-28 327
服务器证书安装配置指南(Apache) 一、  生成证书请求     1.     下载CSR生成工具   您需要使用CSR生成工具来创建证书请求。    下载AutoCSR:  http://www.itrus.cn/soft/autocsr.rar     2.     生成服务器证书私钥及证书请求   运行AutoCSR.bat文件,按照操作提示填写证书注册信息。    
Linux/windows系统下Apache2安装SSL证书教程
陕西省数字认证中心
07-05 340
打开 apache 安装目录下 conf 目录中的 httpd.conf 文件, 找到 #LoadModule ssl_module modules/mod_ssl.so (如果找不到请确认是否编译过 openssl 插件)
windows下apache配置ssl(https)服务器
dlfoqv3408的博客
05-28 217
SSl是为Http传输提供安全的协议,通过证书认证来确保客户端和网站服务器之间的数据是安全, 可以通过apache自带的openssl进行配置: 步骤如下: 1.安装有openssl模板的apache,大多数都会有,判断有没有 只需要查看 apache\bin 下有没有 openssl.exe 运行程序; 2.配置 apache/conf/httpd.conf 文件,如下: ...
JAVA | 自己动手写一个Docker Client
小猿帅大人的博客
08-13 3410
Docker Client 在java中的应用 一、 Docker Client Docker 使用客户端-服务器 (C/S) 架构模式,使用远程API来管理和创建Docker容器Docker Client是都Docker的客户端,负责发送命令。Docker服务器接受并处理命令。 DockerClient在Linux中的使用: [root@localhost ~]# docker v...
docker配置ca证书
无bug不人生
07-12 2079
参考 脚本 ca证书生成脚本 #!/bin/bash # ------------------------------------------------------------- # 自动创建 Docker TLS 证书 # ------------------------------------------------------------- # config # --[BEGIN]------------------------------ # 代码,可以随便写 CODE="WRETCHANT"
配置apache cxf 客户端支持https
witmind的专栏
11-21 2261
包括CXF官网在内的的网上所有示例配置中,都把CA证书配置为jks或者p12格式的,由于这两种格式都是同时包含了公钥和私钥的keyStore,所以这么配置相当于向客户端暴露了CA的私钥。。。瞬间让https的存在失去了意义,还徒增一层加解密耗时操作。。 解决方案简单到哭(忽略熬夜一晚上尝试keyStore去私钥等操作),就是配置trustManagers节点(也即CA节点)的时候不用keySto
idea连接docker报错before any data was received问题解决
ZhenBin_Shen的博客
06-16 477
IDEA连接docker问题
OPENSSL基础使用 密码学之apache部署https 密码学之使用密钥登录SSH服务器
m0_64338210的博客
12-07 670
1.OPENSSL基础使用 实验目的 掌握常见的密码学算法应用,包含des aes md5 rsa等 实验环境 一台Centos 7.2 已经安装openssl组件 实验原理 openssl是Linux内置的一款开源工具,实现了常见的密码算法与应用。通过openssl操作,完成各种密码算法的应用。 实验步骤 创建一个文件,用于被加密,文件内容为12345,文件名为test.txt echo 12345 >test.txt 一、对称加密 1、使用rc4加解密 加密ope.
企业私有Docker镜像仓库搭建教程-Kubernetes篇
"本文主要介绍了如何在实际操作中搭建私有的...搭建Docker私有镜像仓库涉及证书管理、容器化部署和客户端配置等多个环节,这些步骤的实施能帮助企业构建安全、可控的容器化应用环境,同时降低对第三方服务的依赖。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

奔跑的窝窝牛

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值