Linux docker远程安全访问2306一键生成证书脚本

最新推荐文章于 2024-06-13 10:41:06 发布
最新推荐文章于 2024-06-13 10:41:06 发布
阅读量398 收藏 1
点赞数
分类专栏: Mac Intellij idea Linux 文章标签: docker 2376 tls idea
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_17213067/article/details/103369349
版权
Intellij idea 同时被 3 个专栏收录
30 篇文章 0 订阅
订阅专栏
Mac
27 篇文章 0 订阅
订阅专栏
Linux
11 篇文章 0 订阅
订阅专栏

1. 查看是否已经安装过docker      yum list installed | grep docker

docker.x86_64                        2:1.12.6-55.gitc4618fb.el7.centos @extras
docker-client.x86_64                2:1.12.6-55.gitc4618fb.el7.centos @extras
docker-common.x86_64                2:1.12.6-55.gitc4618fb.el7.centos @extras

2. 卸载: yum remove –y docker.x86_64 docker-client.x86_64 docker-common.x86_64

yum remove docker \
docker-client \
docker-client-latest \
docker-common \
docker-latest \
docker-latest-logrotate \
docker-logrotate \
docker-selinux \
docker-engine-selinux \
docker-engine 
whereis docker.service
find / -name docker.service

确保没有其他的docker.service

3. 重新安装:加入启动项、启动

yum install -y docker
systemctl enable docker
systemctl start docker

4. 配置镜像加速

vi /etc/docker/daemon.json
{
    "registry-mirrors":["https://docker.mirrors.ustc.edu.cn"]
}

5. 创建脚本文件

#创建 Docker TLS 证书
#!/bin/bash
#相关配置信息(除IP有用,其他基本咩有用)
#服务器IP或者域名
SERVER=“188.88.88.88"
#密码(无用)
PASSWORD=“2019"
COUNTRY="CN"
STATE=“Sichuan"
CITY=“chengdu"
ORGANIZATION=“ksc"
ORGANIZATIONAL_UNIT="Dev"
EMAIL=“ksc@163.com"
 
###开始生成文件###
echo "开始生成文件"
 
#切换到生产密钥的目录
cd /etc/docker   
#生成ca私钥(使用aes256加密)
openssl genrsa -aes256 -passout pass:$PASSWORD  -out ca-key.pem 2048
#生成ca证书,填写配置信息
openssl req -new -x509 -passin "pass:$PASSWORD" -days 3650 -key ca-key.pem -sha256 -out ca.pem -subj "/C=$COUNTRY/ST=$STATE/L=$CITY/O=$ORGANIZATION/OU=$ORGANIZATIONAL_UNIT/CN=$SERVER/emailAddress=$EMAIL"
 
#生成server证书私钥文件
openssl genrsa -out server-key.pem 2048
#生成server证书请求文件
openssl req -subj "/CN=$SERVER" -new -key server-key.pem -out server.csr
#配置白名单  你使用的是服务器Ip的话,请将前面的DNS换成IP  echo subjectAltName = IP:$SERVER,IP:0.0.0.0 >> extfile.cnf
sh -c  'echo "subjectAltName = IP:'$SERVER',IP:0.0.0.0" >> extfile.cnf'
sh -c  'echo "extendedKeyUsage = serverAuth" >> extfile.cnf'
#使用CA证书及CA密钥以及上面的server证书请求文件进行签发,生成server自签证书
openssl x509 -req -days 3650 -in server.csr -CA ca.pem -CAkey ca-key.pem -passin "pass:$PASSWORD" -CAcreateserial  -out server-cert.pem  -extfile extfile.cnf
 
#生成client证书RSA私钥文件
openssl genrsa -out key.pem 2048
#生成client证书请求文件
openssl req -subj '/CN=client' -new -key key.pem -out client.csr
 
sh -c 'echo extendedKeyUsage=clientAuth >> extfile.cnf'
#生成client自签证书(根据上面的client私钥文件、client证书请求文件生成)
openssl x509 -req -days 3650 -in client.csr -CA ca.pem -CAkey ca-key.pem  -passin "pass:$PASSWORD" -CAcreateserial -out cert.pem  -extfile extfile.cnf
 
#更改密钥权限
chmod 0400 ca-key.pem key.pem server-key.pem
#更改密钥权限
chmod 0444 ca.pem server-cert.pem cert.pem
#删除无用文件
rm client.csr server.csr
echo "生成文件完成"
###生成结束###

注意:如果该服务器有域名,请将

SERVER=“188.88.88.88" 换成域名 SERVER=“www.baidu.com"

再将 sh -c  'echo "subjectAltName = IP:'$SERVER',IP:0.0.0.0" >> extfile.cnf' 换为

sh -c  'echo "subjectAltName = DNS:'$SERVER',IP:0.0.0.0" >> extfile.cnf'

(建议:直接使用上面脚本文件,配置信息更新为自己的就可以。其他不要动。)

5. 运行脚本

6. 编辑docker.service

vim /usr/lib/systemd/system/docker.service

新增

--tlsverify \
--tlscacert=/etc/docker/ca.pem \
--tlscert=/etc/docker/server-cert.pem \
--tlskey=/etc/docker/server-key.pem \
-H tcp://0.0.0.0:2376 \
-H unix:///var/run/docker.sock \

7. 服务器开放2376端口;

8. systemctl daemon-reload && systemctl restart docker

9. 查看是否监听2376端口;

netstat -tunlp

10. 将以下文件拷贝到需要远程连接docker的电脑上:

注意:谨慎保存 cert.pem\key.pem 如果泄漏则和开了2375一样会被远程入侵;

11. idea插件连接docker

https://IP:2376

证书文件夹地址;

12. 注意事项:

  1. 确保2376被监听;
  2. SERVER及DNS/IP,切换,如果有域名则使用DNS,否则使用IP;

DNS:sh -c  'echo "subjectAltName = DNS:'$SERVER',IP:0.0.0.0" >> extfile.cnf'

IP:sh -c  'echo "subjectAltName = IP:'$SERVER',IP:0.0.0.0" >> extfile.cnf'

0.0.0.0表示全部IP可以连,但是我们使用了证书的方式,那么只要有ca.pem/cert.pem/key.pem就可以连接成功;

 

本人踩坑:

  1. docker.service文件被复制到其他地方,所以用systemctl启动后,即使改了docker.service也不会监听2376端口,所以请使用find / -name docker.service删除所有的docker.service,再重新安装;
  2. DNS/IP,docker安全连接的官网使用了$HOST代替,说是hostname(其实只是对有域名的服务器来说的),网上说的什么在/etc/hosts添加一个127.0.0.1 指向master然后master就是DNS名称,我试了没卵用。所以请直接使用IP,或者指向服务器的域名来代替;
  3. 已上脚本已经减去了你生成证书的复杂性,基本按照配置不会有问题;如果有问题请评论,看到就会回复;
  4. 上面脚本是使用别人的,但是由于踩坑浏览了很多方法所以已经不知道脚本地址,侵删;
邪神大叔
关注
专栏目录
Docker - 通过脚本自动创建 Docker TLS 证书
简简单单Onlinezuozuo
10-16 4699
文章目录Docker - 通过脚本自动创建 Docker TLS 证书1、具体脚本2、修改配置为自己的配置3、客户端证书下载 Docker - 通过脚本自动创建 Docker TLS 证书 1、具体脚本 通过脚本一键生成Docker TLS证书 #!/bin/bash # ------------------------------------------------------------...
Linux系统搭建轻量级个人博客VanBlog并一键发布公网远程访问
最新发布
weixin_44976692的博客
07-15 1万+
今天和大家分享如何在Linux Ubuntu系统搭建一款轻量级个人博客VanBlog,并结合cpolar内网穿透软件生成公网地址,轻松实现随时随地远程访问本地部署的站点。无需公网IP,也不用设置反向代理那么麻烦。现在个人建站可以选择的平台很多,之前也和大家分享过如何使用WordPress建站的教程。不过对于新手来说可能需要的专业知识会更多一些,相对来说稍微有点难度。今天要说的这款轻量级的个人博客系统VanBlog,搭建起来更简单,即使新手小白也很容易上手。
linux下自动生成大量证书Shell(无其他工具版)
10-27
在C/S模型中,Server需要认证Client的证书,而每一个Client持有独一无二的证书(比如一个设备的MAC地址),此时需要的证书是一个CA,一个Server证书和大量的Client的证书,如果一个一个的生成,效率速度都非常的慢,下面的工具和shell scripts就是为了批量生成client证书。有包含OpenSSL linux相似的环境都行(Cygwin也行的哦!), 如果这个shell不满足你的需求可以试着改下code. 对了,忘了告诉大家了,你当前的目录面一定要有个cert.cnf配置文件,自己手动生成的CA证书和CA key.
Linux安装dockeridea使用docker插件部署
邪神大人
11-25 472
1、查看是否已经安装过docker [root@localhost ~]#yum list installed | grep docker docker.x86_642:1.12.6-55.gitc4618fb.el7.centos @extras docker-client.x86_642:1.12.6-55...
Docker(十四)Docker开启远程安全访问
wzj_110的博客
08-09 598
前言:之前配置了任何人都可以连接,被黑了,下决心要研究下docker客户端远程安全连接 一 证书的一些故事 (0)证书介绍 开发'https功能'的web server必须用到签名证书证书都是由'证书签发机构签发',当然也可以'自己给自己签发'即自签名证书。 要签发证书,首先要'有一个根证书',然后用'根证书来签发'用户证书 (1)用户进行证书申请 一般先生成一个'私钥文件(Key)',然后用私钥生成'证书签名请求'(csr:certificate signing request),再..
tomcat7+jdk的keytool生成证书 配置https
weixin_34203832的博客
09-25 360
目前只会使用jdk的keytool来生成证书。本文仅介绍这种方法。 1Windows下: 1.1 生成keystore文件及导出证书 打开控制台: 运行: %JAVA_HOME%\bin\keytool -genkey -alias tomcat -keyalg RSA 按照要求一步步的输入信息,问你国家/地区代码的时候,输入cn。 输入密码的时候,这使用:changeit 最后...
运维 Tips | 宝塔Linux面板安装使用及安全配置那些事,新手站长必知!
WeiyiGeek 唯一极客IT知识分享
06-13 975
[知识是人生的灯塔,只有不断学习,才能照亮前行的道路]0x00 前言简述描述: 宝塔 Linux 面板服务器工具实际上UP很早就听说过,但一直没有使用过,可能是作为一名专业运维不太喜欢有界面的东西(PS: 开玩笑,主要是没时间去折腾),正好作者在腾讯云上买了五年的轻量服务器主机,日常主要用于个人博客以及工具站使用(PS: 欢迎访问 weiyigeek.top),日常运维以及修改文件都是通过SS...
docker+k8s入门(持续跟新中)
W0W
11-13 535
Docker环境部署。
最新5万字长文:Docker 100道面试题及参考答案
大模型大数据攻城狮的专栏
04-25 1076
编写Dockerfile:Dockerfile是一个文本文件,包含了创建镜像所需的所有命令。使用Dockerfile构建镜像:使用命令根据Dockerfile构建镜像。运行容器:使用新创建的镜像运行容器,测试镜像的功能。具体步骤创建Dockerfile:在项目目录中创建一个名为Dockerfile的文件,并编写构建镜像所需的指令。"]构建镜像:在包含Dockerfile的目录下运行以下命令来构建镜像。运行容器:使用新创建的镜像运行容器。
容器-Docker《一》介绍和安装
weixin_51943889的博客
12-31 639
Docker容器介绍和安装
docker开放的端口_Docker开放远程安全访问(开启2376端口和CA认证)
weixin_39805529的博客
12-19 813
前言仅仅开放远程访问Docker API,这个还不够的,因为会有安全问题。关于这点,Docker有相关的安全机制,参考官方文档Protect the Docker daemon socket,大致就是:生成证书,用来达到验证客户端身份的目的。下面是操作步骤:服务器配置1. 创建certs文件夹,用来存放CA私钥和公钥mkdir -pv /etc/docker/certscd /etc/docker...
Nexus3搭建Docker私有仓库并push镜像
老柴菜鸟
11-21 1万+
在前面的文章中,我们已经安装好了docker,也已启动了Nexus3,接下来我们就在Nexus3中搭建一个docker的私服。
docker配置tls (二) 生成tls脚本
lanwp5302的博客
04-25 1085
一、生成tls脚本 #!/usr/bin/env bash # ------------------------------------------------------------- # 自动创建 Docker TLS 证书 # ------------------------------------------------------------- :<<! author: la...
docker开启TLS远程访问 2376
lms99251的博客
07-18 1927
docker开启TLS远程访问的方法
docker配置TLS 2376
白_的博客
02-18 1123
1 复制执行shell脚本,只需改动SERVER即可 #创建 Docker TLS 证书 #!/bin/bash #相关配置信息 # docker主机IP SERVER="ip" # 密码 PASSWORD="2cx&BUjsV4u%3Tz9" # 国家 COUNTRY="CN" # 省份 STATE="广东省" # 城市 CITY="深圳市" # 机构名称 ORGANIZATION="白的公司" # 机构单位 ORGANIZATIONAL_UNIT="白的单位" # 邮箱 EMAIL="lius
自制证书搭建https服务
weixin_34290352的博客
10-17 128
第一步,自制CA证书和Server证书,私钥 自制CA私钥 openssl genrsa -des3 -out ca.key 4096 自制CA证书 openssl req -new -x509 -days 3650 -key ca.key -out ca.crt 自制Server私钥,生成免密码版本 openssl genrsa -des3 -out server.key 4...
Linux和widow下 Docker开启远程连接访问
起止洺的博客
08-15 1083
默认情况下,Docker守护进程会生成一个socket文件来进行本地进程通信,而不会监听任何端口,因此只能在本地使用docker客户端或者使用Docker API进行操作。 如果想在其他主机上操作Docker主机,就需要让Docker守护进程监听一个端口,这样才能实现远程通信。 Linux下配置: 配置docker远程连接端口 vi /usr/lib/systemd/system/dock...
docker login 遇到的问题汇总
galoiszhou的博客
02-20 8608
1. 错误: x509: certificate signed by unknown authority 当执行 docker login 的时候遇到如下错误: Error response from daemon: Get https://registry.*******.com:5000/v2/: x509: certificate signed by unknown authority 通...
很好用的一键生成网站证书脚本
我的博客
11-21 2910
同事一直在用这个脚本生成免费证书,续期等! 俗话说,君子性非异也,善假于物也!       我还没用,先贴上地址吧,大佬都在用,应该很好用! https://github.com/Neilpang/acme.sh 最起码不用手动生成了!  ...
Docker开启远程安全访问教程:从基础到CA证书配置
"这篇教程详述了如何开启Docker远程安全访问,包括编辑docker.service文件,重新加载配置,以及防火墙和安全组规则的设置。同时强调了直接暴露Docker端口的安全风险,并推荐使用CA证书进行加密通信。" 在Docker中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值