docker——docker安全通信TLS

最新推荐文章于 2024-04-29 20:10:30 发布
最新推荐文章于 2024-04-29 20:10:30 发布
阅读量230 收藏
点赞数
分类专栏: docker 文章标签: 安全通信 TLS CA证书 SSL 创建证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_47161295/article/details/108842097
版权

安全通信TLS

一、TLS概述

安全传输层协议(TLS)用于在两个通信应用程序之间提供保密性和数据完整性。
该协议由两层组成: TLS 记录协议(TLS Record)和 TLS 握手协议(TLS Handshake)。
TLS协议采用主从式架构模型,用于在两个应用程序间透过网络创建起安全的连线,防止在交换数据时受到窃听及篡改。
TLS协议的优势是与高层的应用层协议(如HTTP、FTP、Telnet等)无耦合。应用层协议能透明地运行在TLS协议之上,由TLS协议进行创建加密通道需要的协商和认证。应用层协议传送的数据在通过TLS协议时都会被加密,从而保证通信的私密性。
TLS协议是可选的,必须配置客户端和服务器才能使用。主要有两种方式实现这一目标:一个是使用统一的TLS协议通信端口(例如:用于HTTPS的端口443);另一个是客户端请求服务器连接到TLS时使用特定的协议机制(例如:邮件、新闻协议和STARTTLS)。一旦客户端和服务器都同意使用TLS协议,他们通过使用一个握手过程协商出一个有状态的连接以传输数据。通过握手,客户端和服务器协商各种参数用于创建安全连接:

  • 当客户端连接到支持TLS协议的服务器要求创建安全连接并列出了受支持的密码组合(加密密码算法和加密哈希函数),握手开始。
  • 服务器从该列表中决定加密和散列函数,并通知客户端。
  • 服务器发回其数字证书,此证书通常包含服务器的名称、受信任的证书颁发机构(CA)和服务器的公钥。
  • 客户端确认其颁发的证书的有效性。
  • 为了生成会话密钥用于安全连接,客户端使用服务器的公钥加密随机生成的密钥,并将其发送到服务器,只有服务器才能使用自己的私钥解密。
  • 利用随机数,双方生成用于加密和解密的对称密钥。这就是TLS协议的握手,握手完毕后的连接是安全的,直到连接(被)关闭。如果上述任何一个步骤失败,TLS握手过程就会失败,并且断开所有的连接。

二、实验

2.1 实验目的

创建证书,通过证书进行安全通信

2.2 实验环境

192.168.200.100 服务机
192.168.200.120 客户机

2.3 实验步骤

服务端
1.关闭防火墙,添加名称解析

iptables -F
setenforce 0
vim /etc/hosts    #名称解析
192.168.200.100 master
hostnamectl set-hostname master 
su
ping master 
PING master (192.168.200.100) 56(84) bytes of data.
64 bytes from master (192.168.200.100): icmp_seq=1 ttl=64 time=0.102 ms
64 bytes from master (192.168.200.100): icmp_seq=2 ttl=64 time=0.059 ms

2.创建ca秘钥

openssl genrsa -aes256 -out ca-key.pem 4096
Enter pass phrase for ca-key.pem:          #输入密码123123
Verifying - Enter pass phrase for ca-key.pem:
ls
ca-key.pem

3.创建ca证书

openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem   #遵守509标准,1000天有效,哈希256,名称*
Enter pass phrase for ca-key.pem:       #输入密码123123
ls
ca-key.pem ca.pem

4.创建服务器私钥

openssl genrsa -out server-key.pem 4096   #创建服务器私钥
Generating RSA private key, 4096 bit long modulus
.................................................................++
..........++
e is 65537 (0x10001)
ls
ca-key.pem ca.pem server-key.pem

5.证书签名,使用服务器秘钥签名 ,签名私钥

openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr
ls
ca-key.pem ca.pem server-key.pem server.csr
使用ca证书与私钥证书签名
openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem
Signature ok
subject=/CN=*
Getting CA Private Key
Enter pass phrase for ca-key.pem:   #输入密码123123
ls
ca-key.pem ca.pem server-key.pem server.csr server-cert.pem

6.生成客户端秘钥

openssl genrsa -out key.pem 4096
Generating RSA private key, 4096 bit long modulus
........................................................................................................................++
.................................++
e is 65537 (0x10001)
ls
ca-key.pem ca.pem server-key.pem server.csr server-cert.pem key.pem

7.创建证书签名,签名客户端

openssl req -subj "/CN=client" -new -key key.pem -out client.csr
ls
ca-key.pem ca.pem server-key.pem server.csr server-cert.pem key.pem client.csr

8.创建配置文件

echo extendedKeyUsage=clientAuth > extfile.cnf   #为产生客户端证书做准备
ls
ca-key.pem ca.pem server-key.pem server.csr server-cert.pem key.pem client.csr extfile.cnf

9.创建客户端签名证书,需要(签名客户端,ca证书,ca秘钥)

openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out 
cert.pem -extfile extfile.cnf 
Signature ok
subject=/CN=client
Getting CA Private Key
Enter pass phrase for ca-key.pem:
ls    # 生成客户端证书
ca-key.pem ca.pem server-key.pem server.csr server-cert.pem key.pem client.csr extfile.cnf cert.pem

10.删除多余文件

rm -rf ca.srl client.csr extfile.cnf server.csr 
ls
ca.pem    initial-setup-ks.cfg  server-cert.pem ca-key.pem cert.pem  key.pem server-key.pem

11.配置docker

vim /lib/systemd/system/docker.service 
14 #ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock
15 ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/tls/ca.pem --tlscert=/tls/server-cert.pem --tlskey=/tls/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock
mkdir /tls
mv *.pem /tls/
systemctl daemon-reload
systemctl restart docker
netstat -antp | grep 2376
tcp6       0      0 :::2376                 :::*                    LISTEN      73925/dockerd 
 cd /tls/
ls
ca-key.pem  ca.pem  cert.pem  key.pem  server-cert.pem  server-key.pem
docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version #查看版本

12.复制证书给客户端

scp ca.pem root@192.168.200.120:/etc/docker
The authenticity of host '192.168.200.120 (192.168.200.120)' can't be established.
ECDSA key fingerprint is SHA256:dMvbIJyuN9aFqJR+OwwLY436gqKEgtipcBLofzOilgU.
ECDSA key fingerprint is MD5:7a:d8:f0:f5:c5:ff:95:36:11:fe:e8:b3:c0:dc:d7:2e.
Are you sure you want to continue connecting (yes/no)? yes
root@192.168.200.120's password: 
ca.pem                                                                               100% 1765     2.3MB/s   00:00 
scp cert.pem root@192.168.200.120:/etc/docker
root@192.168.200.120's password: 
cert.pem                                                                             100% 1696   457.3KB/s   00:00  
scp key.pem root@192.168.200.120:/etc/docker
root@192.168.200.120's password: 
key.pem                                                                              100% 3247     1.1MB/s   00:00

客户端
1.关闭防火墙,添加名称解析

iptables -F
setenforce 0
vim /etc/hosts    #名称解析
192.168.200.100 master
[root@localhost ~]# ping master
PING master (192.168.200.100) 56(84) bytes of data.
64 bytes from master (192.168.200.100): icmp_seq=1 ttl=64 time=0.642 ms
64 bytes from master (192.168.200.100): icmp_seq=2 ttl=64 time=1.19 ms

2.查看接受的文件,并使用tls验证dockers版本

cd /etc/docker/
ls
ca.pem  cert.pem  daemon.json  key.json  key.pem
可以访问
docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version
Client: Docker Engine - Community
 Version:           19.03.13
 API version:       1.40
提笔写春秋
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker启用TLS实现安全配置的步骤
09-29
TLSSSL(Secure Socket Layer)的后续版本,用于在互联网上提供安全通信。它通过加密传输的数据和验证服务器身份来确保网络连接的安全性。在Docker中启用TLS可以防止未经授权的用户通过远程API访问或控制Docker...
关于docker安全Docker-TLS加密通讯问题
01-20
一、docker存在的安全问题 docker自身漏洞 作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录Docker历史版本共有超过20项漏洞。黑客常用的攻击手段主要有代码执行、权限提升、 信息泄露、权限绕过等。目前 ...
Docker 网络及通信方式
xiaoming0018的博客
07-31 1459
Docker使用Linux桥接(参考《Linux虚拟网络技术》),在宿主机虚拟一个Docker容器网桥(docker0),Docker启动一个容器时会根据Docker网桥的网段分配给容器一个IP地址,称为Container-IP,同时Docker网桥是每个容器的默认网关。因为在同一宿主机内的容器都接入同一个网桥,这样容器之间就能够通过容器的Container-IP直接通信
Docker篇之docker容器之间的通信
热门推荐
上善若水
09-08 1万+
安装完docker,系统会自动添加一个供docker使用的网桥docker0,我们创建一个新的容器时,容器通过DHCP获取一个与docker0同网段的IP地址,并默认连接到docker0网桥,以此实现容器与宿主机的网络互通。这个模式创建出来的容器,直接使用容器宿主机的网络命名空间,将不拥有自己独立的Network Namespace,即没有独立的网络环境。它使用的是宿主机的ip和端口。这是docker网络的默认设置,为容器创建独立的网络命令空间,容器具有独立的网卡等所有单独的网络栈,是最常用的使用方式。
docker容器之间如何通信
最新发布
小张的博客
04-29 609
docker-compose.yml 文件中定义网络和服务,Docker Compose 会自动处理容器之间的通信。使用 Docker Swarm:如果你使用 Docker Swarm 模式,Docker 会自动创建一个 ingress 网络,所有服务可以通过服务名进行通信。要让这两个容器通信,只需使用容器名作为主机名。使用默认的 Docker 网络:当你启动 Docker 容器时,它会自动创建一个 bridge 网络。在自定义网络中,容器也会自动获得一个内部 IP 地址,并能够使用容器名通信
Docker(四)、容器间通信
小浪与艳花
10-18 1684
单向通信就是两个容器间,由A向B单向建立网络连接,eg:tomcat应用单向的从mysql容器提取数据即可,mysql不需要知道tomcat容器的存在,扩展:docker容器的虚拟ip,即在每个容器创建以后,都会创建一个虚拟ip,无法从外侧直接访问,只是在docker环境中,内部彼此通信的一个标识,2个容器创建以后,彼此之间互联互通,每创建一个容器,ip地址都会变化,如果更换mysql容器,则需要重启tomcat应用并重新指向新的数据库容器,所以容器间通信不建议使用ip进行通信
docker】它们之间如何通信和阻止,以及容器的基本概念
小5聊的博客
07-15 688
此篇文章主要是简单讲解,docker之间的通信方式以及和如何阻止docker之间的通信,以及docker容器的基本概念
Docker容器之间的通信
花伤情犹在的博客
07-01 8543
平常在使用容器部署项目的时,比如我们构建一个项目的容器和一个的容器,我们希望项目可以正常访问到容器,通常做法是这样的:假如我们的服务器公网地址是,然后我们在服务器上部署了2个服务,分别是服务和服务,一般我们图方便直接将服务的配置文件连接地址填写为公网地址,这样一来相当于绕了一圈… So,本文讲解2种比较简单的`Docker`容器之间发起通信的方法。...
auto-dockerserver-tls.sh
06-04
auto-dockerserver-tls.sh
docker构建nginx双向认证https服务器
06-18
docker构建nginx双向认证https服务器。 openssl命令生成双向认证自签名证书。 nginx配置https(tls)服务。 浏览器访问服务器需要导入客户端证书到浏览器中。
Docker 容器通信详解
RAB
05-17 5294
docker 容器通信
Docker实战——网络通信
lym003的博客
03-01 1613
Docker 的容器运行在宿主机的虚拟机上。这些虚拟机彼此独立,彼此之间没有任何接口,即容器彼此之间是逻辑隔离的。   那么,如何实现容器的相互通信?容器又如何访问外部的网络呢?外部的网络如何才能访问部署在容器内的应用呢?本章节将详细了解这些问题。
docker的那些事】docker是如何进行网络通信
陈橙橙
03-28 2986
docker容器之间是如何通信的? 在这里,大家先看下在我们安装docker之后,linux/window会给我们新增一个网docker0的网卡。 主机之间的通信的离不开网卡,在docker容器之中也是一样,我们都知道docker container本质也是基于一个小的linux内核去运行的。因此每个container他也有独立的ip,那么container之间又是如何去通信的呢? 我们先来看一下,首先运行两个tomcat容器 docker run -d --name tomcat01 -p 8
Docker容器间的网络通信
8爱生活
10-15 4813
Docker Network简单记录下容器间的网络通信Docker Network 网络驱动 BRIDGE 容器与外部的网络通信前提 宿主机与容器的端口映射 容器间的网络通信 使用自己创建的NETWORK 不同NETWORK间的容器通信 容器DNS 默认bridge网络 用户创建的bridge网络 网络层可见别名 参考网络驱动 network drivers是docker提供容器间网络通
docker(10)——docker容器的通信
qq_42024433的博客
06-03 189
1.基本介绍 1)Docker的本地网络实现其实就是利用了Linux上的网络命名空间和虚拟网络设备(特别是veth pair)。 (2)Docker中的网络接口默认都是虚拟的接口。虚拟接口的最大优势就是转发效率极高。这是因为Linux通过在内核中进行数据复制来实现虚拟接口之间的数据转发,即发送接口的发送缓存中的数据包将被直接复制到接收接口的接收缓存中,而无需通过外部物理网络设备进行交换。对于本地系统和容器内系统来看,虚拟接口跟一个正常的以太网卡相比并无区别,只是它速度要快得多。 (3)Docker容器网络就
docker跨主机通信
运维Linux和python
01-19 3659
序言    脑子里不知道想啥,感觉都是浆糊。。。都是水。。。    脑子里总是飘着奇怪的数字,2379,2376,6379。。。各种各样的端口,长的都差不多,写着写着就忘记了哪个数字是哪个服务了。。。。错了一个端口,浪费8个小时。。。大写的FUCK    在跨主机通信的时候,可以使用各种各样的驱动,然而总是在需要通信的那一刻终止。。。。到底是什么阻挡了脚步?是因为爱吗?还是因为责任呢。。。。是什么
使用docker部署jenkins,密钥问题
Vv的博客
10-22 2675
使用docker pull jenkins 时,run的容器进入到jenkins容器里,默认是jenkins用户的。 我们使用git拉取代码时,需要私钥验证。这时候就需要上传到.ssh文件夹里(使用本身有的key,也可以ssh-keygen创建新的) jenkins容器里存放密钥的目录是在 /var/jenkins_home/.ssh/ (所以传key的位置也要在这个) (不像/root/....
Docker网络详解(docker0/使用服务名访问通信/自定义网络)
一只黑猩猩
10-14 3929
文章目录Docker 网络详解一、理解Docker0二、evth-pair技术三、- - link四、自定义网络五、网络连通 学习视频链接,以示尊重:https://www.bilibili.com/video/BV1og4y1q7M4?p=37 Docker 网络详解 一、理解Docker0 Docker使用的是Linux的桥接,在宿主机中是一个Docker容器的网桥docker0。 每启动一个docker容器,docker就会给docker容器分配一个ip,只要安装了docker,就会有一个网卡do

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值