国密docker容器实战

最新推荐文章于 2024-02-18 15:58:46 发布
最新推荐文章于 2024-02-18 15:58:46 发布
阅读量830 收藏 1
点赞数
文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pakchoily/article/details/124950960
版权

网上大部分国密教程都是基于国密SSL实验室(www.gmssl.cn)提供的国密版OpenSSL,可以与Nginx集成。

但是其声明了 https://gmssl.cn/gmssl/index.jsp 每年年底会自动退出,因此采用Tengine+BabaSSl(https://www.babassl.cn/2022/01/11/BabaSSL-plus-Tengine.html),阿里系来构建国密应用,均为开源,没有限制。(Tengine是阿里维护的nginx,完全兼容nginx语法)

限制
1. 免费版本每年年底失效,程序会自动退出,需更新库,重新链接。请勿用于正式/生产环境,后果自负。
2. 需要正式版本请与我们联系。
  • 软件版本,可实现国密/RSA自适应

debian 11.3

tengine:2.3.3

babassl8.3.1

arm64 架构

构建镜像

拉取debian镜像
root@arm-64:~# docker pull debian:11.3
准备容器
root@arm-64:~# docker run -itd --name tengine -p 81:80 -p 442:443 debian:11.3
# 利用腾讯的debian源,把准备好的list移入容器内替换
root@arm-64:~# docker cp /root/sources.list tengine:/etc/apt

sources.list 内容(debian 11)

deb http://mirrors.cloud.tencent.com/debian bullseye main contrib non-free
deb http://mirrors.cloud.tencent.com/debian bullseye-updates main contrib non-free
deb http://mirrors.cloud.tencent.com/debian-security bullseye-security main contrib non-free
deb http://mirrors.cloud.tencent.com/debian bullseye-backports main contrib non-free
deb http://mirrors.cloud.tencent.com/debian bullseye-proposed-updates main contrib non-free
进入容器后,下载编译依赖、下载Tengine、BabaSSL
root@arm-64:~# docker exec -it tengine bash
root@5ad877a818c2:/# cd
root@5ad877a818c2:~# apt update
root@5ad877a818c2:~# apt upgrade -y
# vim 是为了方便
root@5ad877a818c2:~# apt -y install wget gcc make libpcre3 libpcre3-dev zlib1g-dev git vim

# 下载tengine
root@5ad877a818c2:~# git clone https://github.com/alibaba/tengine.git

# 下载babassl https://github.com/BabaSSL/BabaSSL/releases
root@5ad877a818c2:~# wget https://github.com/BabaSSL/BabaSSL/archive/refs/tags/8.3.1.tar.gz
root@5ad877a818c2:~# tar xf 8.3.1.tar.gz
编译Tengine
root@5ad877a818c2:~# cd tengine/

# 注意调整babassl位置,就是之前解压缩的地方
root@5ad877a818c2:~/tengine# ./configure --add-module=modules/ngx_openssl_ntls \
    --with-openssl=/root/BabaSSL-8.3.1 \
    --with-openssl-opt="--strict-warnings enable-ntls" \
    --with-http_ssl_module --with-stream \
    --with-stream_ssl_module --with-stream_sni
    
root@5ad877a818c2:~/tengine# make
root@5ad877a818c2:~/tengine# make install
添加软连接
root@5ad877a818c2:~/tengine# ln -s /usr/local/nginx/sbin/nginx /usr/sbin/
创建证书和子配置文件目录
root@5ad877a818c2:~/tengine# cd /usr/local/nginx/conf/
root@5ad877a818c2:~/tengine# vim nginx.conf
# include /usr/local/nginx/conf/conf.d/*.conf;  #将此条添加到http里

root@5ad877a818c2:/usr/local/nginx/conf# mkdir cert #证书目录
root@5ad877a818c2:/usr/local/nginx/conf# mkdir conf.d #子配置文件目录
root@5ad877a818c2:/usr/local/nginx/conf# exit
制作镜像
#编译好的容器,打包成镜像
root@arm-64:~# docker commit tengine tengine_babassl:2.3.3_8.3.1
#sha256:53951802fa9de8e0c92721d84e1a7040d8504f439d65d12f36552db5e4cdc53c

#编写Dockerfile
root@arm-64:~# cd /opt
root@arm-64:/opt# mkdir tenginefile
root@arm-64:/opt# cd tenginefile/
root@arm-64:/opt/tenginefile# vim Dockerfile

FROM tengine_babassl:2.3.3_8.3.1
EXPOSE 80 443
CMD ["nginx", "-g", "daemon off;"]

#制作镜像
root@arm-64:/opt/tenginefile# docker build -t "tengine_babassl:2.3.3_8.3.1_v1" .

#随便启动一次,把数据卷的配置弄出来
root@arm-64:/opt/tenginefile# docker run --name temp -itd -v tengine:/usr/local/nginx tengine_babassl:2.3.3_8.3.1_v1
root@arm-64:/opt/tenginefile# docker rm -f temp
配置ssl和放入证书
root@arm-64:/opt/tenginefile# cd /var/lib/docker/volumes/
root@arm-64:/var/lib/docker/volumes# cd tengine/_data/conf/cert/
#把以下文件拷入
rsa.dk.crt.pem  rsa.dk.key.pem  sm2.dk.enc.crt.pem  sm2.dk.enc.key.pem  sm2.dk.sig.crt.pem  sm2.dk.sig.key.pem

root@arm-64:/var/lib/docker/volumes/tengine/_data/conf/cert# cd ../conf.d/
root@arm-64:/var/lib/docker/volumes/tengine/_data/conf/conf.d# vim default.conf

#按以下编辑
 server
    {
        listen 443 ssl;
        server_name localhost;
        enable_ntls on;


        ssl_certificate /usr/local/nginx/conf/cert/rsa.dk.crt.pem;
        ssl_certificate_key /usr/local/nginx/conf/cert/rsa.dk.key.pem;

        ssl_sign_certificate /usr/local/nginx/conf/cert/sm2.dk.sig.crt.pem;
        ssl_sign_certificate_key /usr/local/nginx/conf/cert/sm2.dk.sig.key.pem;

        ssl_enc_certificate /usr/local/nginx/conf/cert/sm2.dk.enc.crt.pem;
        ssl_enc_certificate_key /usr/local/nginx/conf/cert/sm2.dk.enc.key.pem;

        location / {
            root   html;
            index  index.html index.htm;
        }
    }
启动最终容器
root@arm-64:/var/lib/docker/volumes/tengine/_data/conf/conf.d# docker run --name tengine_sm --restart=always -itd -p 81:80 -p 442:443 -v tengine:/usr/local/nginx tengine_babassl:2.3.3_8.3.1_v1

由于我的80 和 443 被占用了,所以换了端口

  • 此时,如果用支持国密的浏览器访问https,则显示国密支持
    在这里插入图片描述

  • 如果是使用chrome浏览器,则是rsa加密

在这里插入图片描述

资源地址

国密双证书生成:

https://www.gmssl.cn/gmssl/index.jsp?go=CA

奇安信国密浏览器下载:

https://www.gmssl.cn/gmssl/Tool_Down?File=qaxbrowser_1.1.32574.52_gmssl.exe

pakchoily
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ubuntu/debian安装最新版dockerdocker-compose
个人博客
10-10 2888
ubuntu/debian上安装docker的方法有很多。 最传统的方法是自己手动添加密钥,然后进行安装。 curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add - add-apt-repository "deb [arch=amd64] https://download.docker.com/lin...
debian安装docker-ce(使用阿里云仓库)
spawpaw的博客
07-08 5678
一、安装docker 下面是使用阿里云的源进行安装的方法,如果在其他系统上安装,比如ubuntu,把debian换成ubuntu就可以了。 # step 1: 安装必要的一些系统工具 sudo apt-get update sudo apt-get -y install apt-transport-https ca-certificates curl software-properties-com...
国密Nginx容器实战
Geor_ge_的博客
09-14 2074
国密Nginx容器实战 1.背景 ​ 目前国密SSL(TLCP)已经逐步开始推广并实际使用,国密SSL实验室(www.gmssl.cn)提供了国密版OpenSSL,并且可以与Nginx集成,可以比较方便的搭建国密SSL反向代理或者国密SSL服务器。 ​ 国密SSL实验室并没有提供Docker的样例,考虑到Docker的广泛性,本文描述了在Docker里面部署国密SSL的Nginx的的完整构建过程,仅供学习和参考之用。 运行环境为Centos7 X86_64。 2.安装docker #安装docker 17.
polarssl-1.3.15源码
02-16
PolarSSL 源码,最小巧的ssl代码库。高效、便于移植和集成,最易阅读,支持DES\SHA\MD5\RSA等多种算法,对X509、ans.1的轻量级编解码。
创建Docker基本的debian镜像
lindev的专栏
12-19 6354
刚接触docker时,首先是从docker的公共仓库中pull镜像,但你会觉得这些不一定都是自己想要的,这里你就可以尝试自行创建自己的镜像了。
debian12的linux环境下离线安装docker
weixin_52480810的博客
08-24 913
debian12或者ubuntu系统linux环境下离线安装docker
Docker 连接调试及国密算法验证工具
04-18
SocketTool 是一款网络连接工具,方便进行协议调试。通用工具是国密算法调试工具。
国密openssl安装包
11-03
国密OpenSSL是一款针对中国国内安全标准定制的加密软件库,它主要是在原有的OpenSSL基础上,集成了中国的国家商用密码算法,如SM2、SM3和SM4等。这些算法在国内被广泛应用于数据加密、数字签名和密钥交换等领域,...
国密签名验证demo
09-28
近期公司需要使用国密算法,弄了个国密算法加密验签的demo,window版带dll文件。RAS算法,GM
java国密算法实现
01-07
为了在Java项目中使用这些国密算法,你需要引入支持国密的库,如Bouncy Castle或Chinese Cryptography Extension (CCE)。这些库提供了对SM2、SM3等国密算法的API接口,使得开发者能够方便地集成到自己的代码中。在...
国密算法》--国密算法js版.zip
03-06
个人实战积累的成果,基于国密算法的总结,希望可以帮到您 亲们下载我任何一个付费资源后,即可私信联系我免费下载其他相关资源哦~ 个人实战积累的成果,基于国密算法的总结,希望可以帮到您 亲们下载我任何一个...
linux安装docker
zzsan的博客
04-14 3379
docker安装步骤 安装通过HTTPS添加新存储库所需的软件包 sudo apt update sudo apt install curl apt-transport-https ca-certificates gnupg2 software-properties-common 使用以下curl命令导入存储库的GPG密钥 curl -fsSL https://download.docker.c...
Debian 12安装Docker
乐渔的博客
09-17 2222
如果Docker未运行,请执行如下命令启动它。安装完成后,默认Docker服务是启动的。(1)添加Docker 官方GPG密钥。(1)查看Docker服务运行状态。(2)设置Docker开机自动启动。6.检查Docker版本信息。(2)添加Docker源。5.设置Docker服务。3.添加Docker源。(3)更新软件包缓存。4.安装Docker
Openresty原理概念篇(四)​openresty的安装
wzj_110的博客
06-18 553
openresty安装问题
使用 docker 实现自动化编译 openresty 的方法
yupengdahappy的专栏
08-14 213
使用 docker 实现自动化编译 openresty 的方法
1Panel使用GMSSL+Openresty实现国密/RSA单向自适应
Anye 博客
02-18 1362
国密算法是国家商用密码算法的简称。自2012年以来,国家密码管理局以《中华人民共和国密码行业标准》的方式,陆续公布了SM2/SM3/SM4等密码算法标准及其应用规范。其中“SM”代表“商密”,即用于商用的、不涉及国家秘密的密码技术。其中SM2为基于椭圆曲线密码的公钥密码算法标准,包含数字签名、密钥交换和公钥加密,用于替换RSA/Diffie-Hellman/ECDSA/ECDH等国际算法;SM3为密码哈希算法,用于替代MD5/SHA-1/SHA-256等国际算法;
tengine基于alpine镜像制作dockerfile-公司在用版
jialiu111111的博客
04-07 317
【代码】tengine基于alpine镜像制作dockerfile-公司在用版。
Tengine + BabaSSL ,让国密更易用!
程序员阿飘 的博客
01-17 517
文|杨洋(花名:凯申 )蚂蚁集团高级技术专家负责密码学工程能力建设、BabaSSL 开源社区建设本文 2366 字 阅读 5 分钟近日,国内著名 Web 服务器和反向代理开源软件 Tengine完成了对的适配工作。Tengine 对 BabaSSL 提供的特殊 API 进行了适配,并增加对 NTLS 相关能力的支持。至此,对我国密码行业相关安全通信协议,有使用需求的用户可以直接使用 Tengine + BabaSSL 的组合。
Fabric ca 1.4国密单机部署并测试
qq_44926783的博客
04-10 204
这样一个新用户就注册成功了,获取了属于自己的证书和私钥。目录,包含管理员的证书和私钥。客户端可以接收到一个密码。在bin文件夹中有了。
golang 国密
最新发布
06-17
在Go语言(Golang)中,支持国家安全(国密)相关的加密库通常指的是`golang.org/x/crypto/ctb`包,它提供了对中国的商用密码算法(Commonly Used Cryptographic Algorithms,简称国密)的支持,比如SM2、SM3、SM4和AES等。 1. **SM2**:这是一种非对称加密算法,用于数字签名和公钥加密。 2. **SM3**:又称SM hash,是一个消息认证码(MAC),类似于MD5或SHA-1。 3. **SM4**:一种对称加密算法,用于数据加密和解密。 4. **AES**:Advanced Encryption Standard,高级加密标准,也是一种常见的对称加密算法。 使用这些国密算法,你可以确保你的Go应用在处理敏感信息时符合中国国家安全标准。在实际使用中,首先需要导入相应的包,然后按照官方文档提供的API来操作这些算法。 如果你想要深入了解如何在Go中使用国密算法,你可以询问以下几个相关问题:
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值