docker引擎开启TLS双向认证

最新推荐文章于 2024-05-28 17:22:23 发布
最新推荐文章于 2024-05-28 17:22:23 发布
阅读量977 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21442867/article/details/118549039
版权

文章目录

前言

开启dockerd 的远程访问非常利于日常运维 我们可以使用docker sdk 或者docker 命令行 进行容器的日常维护与管理,
在生产环境中 开启 TLS 双向认证是非常必要的安全规则,
但是我们不会用域名为每个docker服务器设置证书,
可以使用x509扩展 将common name 设置为ip 并且可以设置多个ip 意味着 多个docker 服务器可以使用一套证书

0 环境信息

docker 引擎服务端

192.168.3.16

docker 客户端

192.168.3.14

docker 版本

19.03.9

1 创建CA证书

1.1 创建CA私钥

可在任意一个可以使用 openssl 命令行工具的操作系统 创建证书相关的文件

创建一个目录存放证书相关文件

mkdir  /opt/certs
cd /opt/certs/

创建ca 私钥

openssl genrsa   -out ca-key.pem 4096

1.2 生成CA证书

openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem -subj "/C=CN/ST=Shanghai/O=WhoAreYou/CN=test1"

2 用ca 证书签发服务端 证书

cd /opt/certs/

创建私钥

openssl genrsa -out server-key.pem 4096

用私钥生成证书请求文件

openssl req -subj "/CN=test1" -sha256 -new -key server-key.pem -out server.csr

配置x509证书的扩展选项 使证书可以用ip 而不是域名

本次执行的命令

echo subjectAltName = IP:192.168.3.16 > extfile.cnf

如果是多个ip 可按如下配置

echo subjectAltName = IP:10.20.0.201,IP:10.20.0.202,IP:10.20.0.203,IP:10.255.128.133,IP:127.0.0.1 > extfile.cnf

也可以按照如下书写

extendedKeyUsage = serverAuth
subjectAltName = @alt_names

[alt_names]
IP.1=172.16.100.216
IP.2=10.20.0.201
IP.3=10.20.0.202
IP.4=10.20.0.203
IP.5=10.20.0.204
IP.6=10.20.0.205
IP.7=10.20.0.206

将Docker守护程序密钥的扩展使用属性设置为仅用于服务器身份验证

echo extendedKeyUsage = serverAuth >> extfile.cnf

用ca 签发证书

openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out server-cert.pem -extfile extfile.cnf

3 为docker引擎部署服务端证书

sudo mkdir  /var/docker
sudo cp /opt/certs/{server-cert.pem,server-key.pem,ca.pem}   /var/docker/

分别是 dockerd的 服务端证书 服务端私钥 和 ca 证书

 sudo cp /usr/lib/systemd/system/docker.service  /usr/lib/systemd/system/docker.service-bak

sudo vim /usr/lib/systemd/system/docker.service

修改如下行

ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock

修改后如下

ExecStart=/usr/bin/dockerd -H tcp://0.0.0.0:2376 -H fd:// --containerd=/run/containerd/containerd.sock \
--tlsverify=true \
--tlscert=/var/docker/server-cert.pem \
--tlskey=/var/docker/server-key.pem \
--tlscacert=/var/docker/ca.pem

在这里插入图片描述

sudo systemctl daemon-reload
sudo systemctl  restart docker

5 用ca 证书签发客户端证书:

客户端私钥

cd /opt/certs/

openssl genrsa -out key.pem 4096

生成 客户端证书请求文件

openssl req -subj '/CN=client' -new -key key.pem -out client.csr

编辑配置文件 extfile.cnf

echo extendedKeyUsage = clientAuth > extfile.cnf

客户端的证书只需要开启clientAuth 所以是清空后仅写入了一行

extendedKeyUsage = clientAuth

用CA为客户端签署证书文件

openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out cert.pem -extfile extfile.cnf

6 验证 tls 证书

在 192.168.3.16 上验证

cd /opt/certs

docker --tlsverify --tlscacert=./ca.pem   --tlscert=./cert.pem   --tlskey=./key.pem   -H 192.168.3.16:2376 version

在 192.168.3.14 上验证

拷贝证书

scp 192.168.3.16:/opt/certs/{ca.pem,cert.pem,key.pem}    /opt/

cd /opt/

docker --tlsverify --tlscacert=./ca.pem   --tlscert=./cert.pem   --tlskey=./key.pem   -H 192.168.3.16:2376 version

在这里插入图片描述

在任何可以访问到服务端 2376 端口的服务器上 都可以使用证书访问

7 补充

删除证书请求文件:
rm -v client.csr server.csr
默认的私钥权限太开放了,为了更加的安全,我们需要更改证书的权限,删除写入权限,限制阅读权限(只有你能查看):
chmod -v 0400 ca-key.pem key.pem server-key.pem
证书文件删除其写入权限:
chmod -v 0444 ca.pem server-cert.pem cert.pem
不正经运维君
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
docker——tls(ssl)加密通信
Yusheng9527的博客
03-16 1886
docker——tls(ssl)加密通信DockerClient端与DockerDaemon的通信安全(https证书)背景使用证书访问的工作流程部署思路证书创建过程环境准备创建一个存放目录生成ca证书1)创建ca私钥2)创建ca证书用ca证书签发server端证书1)创建服务器私钥2)生成证书签名请求文件(csr文件)3)使用ca证书与私钥证书签发服务端签名证书用ca证证书签发client端证书1)生成客户端私钥2)生成证书签名请求文件3)创建扩展配置文件,使秘钥适合客户端身份验证4)使用ca证书签发客户
Docker启用TLS实现安全配置的步骤
09-29
主要给大家介绍了关于Docker启用TLS实现安全配置的方法步骤,文中通过示例代码介绍的非常详细,对大家学习或者使用Docker具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
Nginx开启TLS双向认证流程及配置
最新发布
ChinaCpp666的博客
05-28 1721
是一种可选的优化方案,可以减少握手的长度。它通常用于客户端和服务器之间已经建立了信任的情况下。是客户端和服务器共同协商生成的一个用于加密通信数据的对称密钥。是临时性的,只在会话期间存在,不会存储在客户端或服务器上。的长度通常为256位,但这取决于所使用的密码套件。被泄露,攻击者可能会窃听或篡改通信数据。是否会存储在客户端或服务器上?被泄露,会有什么后果?在TLS握手过程中,
程序员都在学的docker--docker安全TLS验证(ca证书、服务端证书、客户端证书)
kimowinter的博客
10-09 1539
文章目录一、 Docker-TLS加密通讯1.1 TLS介绍1.2 CA证书证书创建流程二、 TLS加密通讯实操实验目的实验环境实验参数实验过程1. 修改主机的前置环境2. 创建ca证书密钥3. 创建ca证书4. 创建服务端私钥5. 给服务端私钥签名6. 使用ca证书与私钥证书签名7. 生成客户私钥8. 给客户端证书签名9. 创建配置文件10. 创建客户端证书11. 整理证书12. 配置docker13. 传输证书,进行验证 一、 Docker-TLS加密通讯 1.1 TLS介绍 TLS (Transpor
Docker开启TLS认证
qq_35156626的博客
12-21 700
修复Docker远程API调用漏洞,启用TLS认证
DockerTLS 认证
记录了,但是完全不会。
07-05 648
使用脚本快速创建TLS证书并部署到Docker服务,解决2375端口引发的安全漏洞。
docker构建nginx双向认证https服务器(实战)
啊渊的专栏
06-20 1490
为快速构建nginx的双向认证服务器,我们使用构建docker镜像方式搭建,原始项目中包含了国密认证部分,文章仅介绍双向自签名的构建,因此在运行builddocker.sh脚本时我们只是用到了7功能。本文介绍了docker的构建脚本,docker的运行脚本,https双向认证自签名脚本、生成根证书、服务器证书、客户端证书。使用dockerfile构建docker镜像方便有快捷。项目文件列表使用openssl命令构建服务器证书,根证书,客户端证书。关于dockerfile的编写可以看一下文章地址:->
docker构建nginx双向认证https服务器
06-18
docker构建nginx双向认证https服务器。 openssl命令生成双向认证自签名证书。 nginx配置https(tls)服务。 浏览器访问服务器需要导入客户端证书到浏览器中。
auto-dockerserver-tls.sh
06-04
auto-dockerserver-tls.sh
Docker安全配置及Docker-TLS加密
kele_baba
08-05 1649
Docker安全配置一、Docker 容器与虚拟机的区别1、隔离与共享2、性能与损耗二、Docker 存在的安全问题1、Docker 自身漏洞2、Docker 源码问题三、Docker 架构缺陷1、容器之间的局域网攻击2、DDoS 攻击耗尽资源3、有漏洞的系统调用4、共享root用户权限四、Docker 安全基线标准1、内核级别2、主机级别3、网络级别4、镜像级别5、容器级别6、其他设置五、部分安全操作1、容器最小化2、Docker remote api 访问控制4、镜像安全5、Docker-TLS加密通讯
长文详解!Docker客户端与服务端TLS认证Docker Remote API认证
董哥的黑板报
07-28 4662
一、Docker Remote API的认证 在前一篇文章我们介绍了Docker Remote API如何使用:https://blog.csdn.net/qq_41453285/article/details/107642615 在前一篇文章中我们介绍了如何连接到Docker Remote API,但是不意味着任何其他人都能连接到同样的API。从安全的角度上看,这存在一点儿安全问题。不过值得感谢的是,自Docker的0.9版本开始Docker Remote API开始提供了认证机制。这种认证机制采用了
docker-配置tls时重启docker失败
weixin_50344742的博客
03-20 541
问题 可发现,是路径问题 解决 ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/root/tls/ca.pem --tlscert=/root/tls/server-cert.pem --tlskey=/root/tls/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.so 再重启 systemctl daemon-reload systemctl restart dock
Docker基础系列之TLS和CA认证
囚徒之困
04-01 1272
Docker TLS和CA认证
docker安全配置tls证书加密
weixin_43515220的博客
04-29 357
[root@localhost ~]# mkdir /tls [root@localhost ~]# cd /tls [root@localhost tls]# hostnamectl set-hostname master [root@localhost tls]# su [root@master tls]# vim /etc/hosts // 添加master与IP地址映射 // // 创建...
docker安全通信 TLS介绍及配置
zhang_yazhou的博客
09-29 292
安全通信 TLS 生产环境 文章目录安全通信 TLS 生产环境一、认识TLS协议【1】TLS的介绍【2】SSL的介绍【3】TLS算法(1)密钥交换和密钥协商(2)TLS加密的更新二、docker安全通信的配置【1】docker-tls加密通讯【2】创建ca秘钥【3】创建ca证书【4】创建服务器私钥【5】签名私钥【6】使用ca证书与私钥证书签名,输入123123【7】生成客户端秘钥【8】签名客户端【9】创建配置文件【10】签名证书,输入123123,需要(签名客户端,ca证书,ca秘钥)【11】删除多余文件【
Docker持续集成服务器开启TLS监听
福来哥的博客
07-26 215
我们日常使用的docker命令实际上是个客户端,真正的服务端为dockerd守护进程,客户端和服务端之间可以通过http协议进行交互。为了跑持续集成,需要通过远程命令来发布docker镜像。 环境 docker: 19.03.x 系统:centos 7 / ubuntu 16 操作步骤 生成ssl证书过程略,请参考文末的官方文档 systemctl edit docker 按i键进入编辑模式,粘贴以下内容: [Service] ExecStart= ExecStart=/usr/bin/dockerd -
Docker 配置 TLS
贝克街的流浪猫
04-03 1034
引言 Docker 默认通过 Unix Socket 对外提供接口,也支持 HTTP 的方式,后者允许我们能够在本地控制远程服务器中的 Docker。如果你想让远程服务器中的 Docker 以安全的方式被访问,可为其配置 TLS,做到服务端和客户端的双向验证。本文由我的同事 @like 投稿,其中总结了他在配置 Docker TLS 过程中的实践经验。 安装 cfssl 这里我们使用 CloudFlare 的 PKI 工具集 cfssl 来创建证书。 安装 cfssl、cfssljson 以及 cfssl
Docker Swarm中使用TLS
gezhonglei2007的专栏
06-12 2798
Swarm集群中的每个节点都安装Docker Daemon,绑定到一个端口上进行通讯,存在很明显的安全隐患。 特别是在不安全的网络环境中,像互联网。Docker Swarm和Docker使用TLS保证访问安全。
Docker高级应用之远程TLS管理(安全认证)步骤详细简单易懂
chenchen的博客
12-03 1167
目录一、TLS简介二、Docker 容器与虚拟机的区别三、Docker 存在的安全问题 一、TLS简介 TLS(Transport Layer Security,安全传输层),TLS是建立在传输层TCP协议之上的协议,服务于应用层,它的前身是SSL(Secure Socket Layer,安全套接字层),它实现了将应用层的报文进行加密后再交由TCP进行传输的功能。 TLS协议具备三大特性:保密性(数据都是加密传输,预防第三方嗅探)、数据完整性(基于MAC校验机制)、双向认证支持(避免身份被冒充) 在doc
docker nginx openssl双向认证
08-04
Docker环境中使用Nginx和OpenSSL实现双向认证可以提高通信的安全性。 首先,需要生成证书和私钥。可以使用OpenSSL生成自签名的证书和私钥,其中私钥用于签署证书,并使用公钥加密通信。 然后,将生成的证书和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值