docker引擎开启TLS双向认证

最新推荐文章于 2024-05-28 17:22:23 发布
最新推荐文章于 2024-05-28 17:22:23 发布
阅读量960 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21442867/article/details/118549039
版权

文章目录

前言

开启dockerd 的远程访问非常利于日常运维 我们可以使用docker sdk 或者docker 命令行 进行容器的日常维护与管理,
在生产环境中 开启 TLS 双向认证是非常必要的安全规则,
但是我们不会用域名为每个docker服务器设置证书,
可以使用x509扩展 将common name 设置为ip 并且可以设置多个ip 意味着 多个docker 服务器可以使用一套证书

0 环境信息

docker 引擎服务端

192.168.3.16

docker 客户端

192.168.3.14

docker 版本

19.03.9

1 创建CA证书

1.1 创建CA私钥

可在任意一个可以使用 openssl 命令行工具的操作系统 创建证书相关的文件

创建一个目录存放证书相关文件

mkdir  /opt/certs
cd /opt/certs/

创建ca 私钥

openssl genrsa   -out ca-key.pem 4096

1.2 生成CA证书

openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem -subj "/C=CN/ST=Shanghai/O=WhoAreYou/CN=test1"

2 用ca 证书签发服务端 证书

cd /opt/certs/

创建私钥

openssl genrsa -out server-key.pem 4096

用私钥生成证书请求文件

openssl req -subj "/CN=test1" -sha256 -new -key server-key.pem -out server.csr

配置x509证书的扩展选项 使证书可以用ip 而不是域名

本次执行的命令

echo subjectAltName = IP:192.168.3.16 > extfile.cnf

如果是多个ip 可按如下配置

echo subjectAltName = IP:10.20.0.201,IP:10.20.0.202,IP:10.20.0.203,IP:10.255.128.133,IP:127.0.0.1 > extfile.cnf

也可以按照如下书写

extendedKeyUsage = serverAuth
subjectAltName = @alt_names

[alt_names]
IP.1=172.16.100.216
IP.2=10.20.0.201
IP.3=10.20.0.202
IP.4=10.20.0.203
IP.5=10.20.0.204
IP.6=10.20.0.205
IP.7=10.20.0.206

将Docker守护程序密钥的扩展使用属性设置为仅用于服务器身份验证

echo extendedKeyUsage = serverAuth >> extfile.cnf

用ca 签发证书

openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out server-cert.pem -extfile extfile.cnf

3 为docker引擎部署服务端证书

sudo mkdir  /var/docker
sudo cp /opt/certs/{server-cert.pem,server-key.pem,ca.pem}   /var/docker/

分别是 dockerd的 服务端证书 服务端私钥 和 ca 证书

 sudo cp /usr/lib/systemd/system/docker.service  /usr/lib/systemd/system/docker.service-bak

sudo vim /usr/lib/systemd/system/docker.service

修改如下行

ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock

修改后如下

ExecStart=/usr/bin/dockerd -H tcp://0.0.0.0:2376 -H fd:// --containerd=/run/containerd/containerd.sock \
--tlsverify=true \
--tlscert=/var/docker/server-cert.pem \
--tlskey=/var/docker/server-key.pem \
--tlscacert=/var/docker/ca.pem

在这里插入图片描述

sudo systemctl daemon-reload
sudo systemctl  restart docker

5 用ca 证书签发客户端证书:

客户端私钥

cd /opt/certs/

openssl genrsa -out key.pem 4096

生成 客户端证书请求文件

openssl req -subj '/CN=client' -new -key key.pem -out client.csr

编辑配置文件 extfile.cnf

echo extendedKeyUsage = clientAuth > extfile.cnf

客户端的证书只需要开启clientAuth 所以是清空后仅写入了一行

extendedKeyUsage = clientAuth

用CA为客户端签署证书文件

openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out cert.pem -extfile extfile.cnf

6 验证 tls 证书

在 192.168.3.16 上验证

cd /opt/certs

docker --tlsverify --tlscacert=./ca.pem   --tlscert=./cert.pem   --tlskey=./key.pem   -H 192.168.3.16:2376 version

在 192.168.3.14 上验证

拷贝证书

scp 192.168.3.16:/opt/certs/{ca.pem,cert.pem,key.pem}    /opt/

cd /opt/

docker --tlsverify --tlscacert=./ca.pem   --tlscert=./cert.pem   --tlskey=./key.pem   -H 192.168.3.16:2376 version

在这里插入图片描述

在任何可以访问到服务端 2376 端口的服务器上 都可以使用证书访问

7 补充

删除证书请求文件:
rm -v client.csr server.csr
默认的私钥权限太开放了,为了更加的安全,我们需要更改证书的权限,删除写入权限,限制阅读权限(只有你能查看):
chmod -v 0400 ca-key.pem key.pem server-key.pem
证书文件删除其写入权限:
chmod -v 0444 ca.pem server-cert.pem cert.pem
不正经运维君
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
docker构建nginx双向认证https服务器
06-18
docker构建nginx双向认证https服务器。 openssl命令生成双向认证自签名证书。 nginx配置https(tls)服务。 浏览器访问服务器需要导入客户端证书到浏览器中。
Docker高级应用---远程TLS管理(安全认证
weixin_47151643的博客
09-26 1379
文章目录一、Docker 容器与虚拟机的区别二、Docker 存在的安全问题三、Docker 架构缺陷与安全机制四:Dcoker-TLS加密实战4.1:TLS概述4.2:为什么要使用TLS加密4.3:docker-TLS部署 前言 TLS(Transport Layer Security,安全传输层),TLS是建立在传输层TCP协议之上的协议,服务于应用层,它的前身是SSL(Secure Socket Layer,安全套接字层),它实现了将应用层的报文进行加密后再交由TCP进行传输的功能。 TLS协议具.
程序员都在学的docker--docker安全TLS验证(ca证书、服务端证书、客户端证书)
kimowinter的博客
10-09 1530
文章目录一、 Docker-TLS加密通讯1.1 TLS介绍1.2 CA证书证书创建流程二、 TLS加密通讯实操实验目的实验环境实验参数实验过程1. 修改主机的前置环境2. 创建ca证书密钥3. 创建ca证书4. 创建服务端私钥5. 给服务端私钥签名6. 使用ca证书与私钥证书签名7. 生成客户私钥8. 给客户端证书签名9. 创建配置文件10. 创建客户端证书11. 整理证书12. 配置docker13. 传输证书,进行验证 一、 Docker-TLS加密通讯 1.1 TLS介绍 TLS (Transpor
Nginx开启TLS双向认证流程及配置
最新发布
ChinaCpp666的博客
05-28 1439
是一种可选的优化方案,可以减少握手的长度。它通常用于客户端和服务器之间已经建立了信任的情况下。是客户端和服务器共同协商生成的一个用于加密通信数据的对称密钥。是临时性的,只在会话期间存在,不会存储在客户端或服务器上。的长度通常为256位,但这取决于所使用的密码套件。被泄露,攻击者可能会窃听或篡改通信数据。是否会存储在客户端或服务器上?被泄露,会有什么后果?在TLS握手过程中,
Docker安全配置及Docker-TLS加密
kele_baba
08-05 1638
Docker安全配置一、Docker 容器与虚拟机的区别1、隔离与共享2、性能与损耗二、Docker 存在的安全问题1、Docker 自身漏洞2、Docker 源码问题三、Docker 架构缺陷1、容器之间的局域网攻击2、DDoS 攻击耗尽资源3、有漏洞的系统调用4、共享root用户权限四、Docker 安全基线标准1、内核级别2、主机级别3、网络级别4、镜像级别5、容器级别6、其他设置五、部分安全操作1、容器最小化2、Docker remote api 访问控制4、镜像安全5、Docker-TLS加密通讯
DockerTLS 认证
记录了,但是完全不会。
07-05 633
使用脚本快速创建TLS证书并部署到Docker服务,解决2375端口引发的安全漏洞。
Docker开启TLS认证
qq_35156626的博客
12-21 691
修复Docker远程API调用漏洞,启用TLS认证
长文详解!Docker客户端与服务端TLS认证Docker Remote API认证
董哥的黑板报
07-28 4567
一、Docker Remote API的认证 在前一篇文章我们介绍了Docker Remote API如何使用:https://blog.csdn.net/qq_41453285/article/details/107642615 在前一篇文章中我们介绍了如何连接到Docker Remote API,但是不意味着任何其他人都能连接到同样的API。从安全的角度上看,这存在一点儿安全问题。不过值得感谢的是,自Docker的0.9版本开始Docker Remote API开始提供了认证机制。这种认证机制采用了
Docker启用TLS实现安全配置的步骤
09-29
同时,确保客户端Docker配置也开启TLS验证。 6. **测试连接** 确认Docker守护进程已成功启用TLS并可安全访问,可以尝试运行一个简单的Docker命令,如`docker info`。如果配置正确,命令应该能够正常执行,表明TLS...
auto-dockerserver-tls.sh
06-04
auto-dockerserver-tls.sh
Docker 配置 TLS
贝克街的流浪猫
04-03 1022
引言 Docker 默认通过 Unix Socket 对外提供接口,也支持 HTTP 的方式,后者允许我们能够在本地控制远程服务器中的 Docker。如果你想让远程服务器中的 Docker 以安全的方式被访问,可为其配置 TLS,做到服务端和客户端的双向验证。本文由我的同事 @like 投稿,其中总结了他在配置 Docker TLS 过程中的实践经验。 安装 cfssl 这里我们使用 CloudFlare 的 PKI 工具集 cfssl 来创建证书。 安装 cfssl、cfssljson 以及 cfssl
HTTPS双向认证
Starr
02-28 6889
文章目录双向认证服务端客户端(问题残留) 双向认证 C/S两端分别生成密钥对,交换公钥,基于公钥验证另一端。 第一步,创建密钥对,把公钥存储为自签名、PEM编码的证书。用openssl即可,这里以一个HTTPS服务端为例: openssl req -nodes -x509 -newkey rsa:4096 -keyout serverKey.pem -out serverCrt.pem -days 365 serverKey.pem包含服务器的私钥,需要保护;serverCrt.pem包含服务器的公钥,用
Docker远程接口未授权访问漏洞解决方案之 Docker Remote API TLS 认证
myJavaHe的博客
03-15 2113
Docker远程接口未授权访问漏洞解决方案之 Docker Remote API TLS 认证
Docker通过SSL限制访问
ailian_f的博客
04-13 2616
如果有人给你说需要配置docker的ssl,那么你需要知道的是,他是想限制docker的访问权限,还是需要给域名的ssl证书做配置,给域名对应的ssl证书做配置,可参考nginx容器的配置。 下面是给docker做访问权限,以方便开发人员在开发的过程中使用IDEA快速访问docker,并做到安全访问(通过HTTPS协议) 创建一个存放OpenSSL证书的文件夹存放公钥和秘钥,并进入 mkdi...
docker——tls(ssl)加密通信
Yusheng9527的博客
03-16 1875
docker——tls(ssl)加密通信DockerClient端与DockerDaemon的通信安全(https证书)背景使用证书访问的工作流程部署思路证书创建过程环境准备创建一个存放目录生成ca证书1)创建ca私钥2)创建ca证书用ca证书签发server端证书1)创建服务器私钥2)生成证书签名请求文件(csr文件)3)使用ca证书与私钥证书签发服务端签名证书用ca证证书签发client端证书1)生成客户端私钥2)生成证书签名请求文件3)创建扩展配置文件,使秘钥适合客户端身份验证4)使用ca证书签发客户
Docker高级应用之远程TLS管理(安全认证)步骤详细简单易懂
chenchen的博客
12-03 1161
目录一、TLS简介二、Docker 容器与虚拟机的区别三、Docker 存在的安全问题 一、TLS简介 TLS(Transport Layer Security,安全传输层),TLS是建立在传输层TCP协议之上的协议,服务于应用层,它的前身是SSL(Secure Socket Layer,安全套接字层),它实现了将应用层的报文进行加密后再交由TCP进行传输的功能。 TLS协议具备三大特性:保密性(数据都是加密传输,预防第三方嗅探)、数据完整性(基于MAC校验机制)、双向认证支持(避免身份被冒充) 在doc
Docker容器之swarm集群
noflag的博客
08-08 494
Docker容器之swarm集群 实验环境: 三台虚拟机 server1docker,manager server2docker,node server4docker,node 在三台虚拟机上都安装开启docker服务 swarm集群 在server1作为manager节点上进行swarm的初始化 docker swarm init server2,server4节...
docker kaniko push推送镜像至harbor报错:x509: certificate signed by unknown authority(命令中添加 --skip-tls-ver)
学亮编程手记
02-16 1389
解决办法:在命令中添加 --skip-tls-verify 标记 完整Dockerfile: FROM ubuntu ENTRYPOINT ["/bin/bash","-c","echo hello,kaniko"] 完整docker脚本: docker run --name kaniko --add-host harbor.zxl.loc:192.168.11x.xx -v /root/.docker:/kaniko/.docker -v /D/Workspace/Docker/kaniko/:/wor
Docker】Registry搭建私有仓库、证书认证、用户登录认证
sl963216757的博客
06-29 2611
一、Docker Registry工作原理 02_Docker Registry角色 Docker Registry有三个角色,分别是index、registry和registry client。 index 负责并维护有关用户帐户、镜像的校验以及公共命名空间的信息。 Web UI 元数据存储 认证服务 符号化 registry 是镜像和图表的仓库,它不具有本地数据库以及不提供用户认证,通过Index Auth service的Token的方式进行认证。 Registry Client Docke
docker nginx openssl双向认证
08-04
Docker环境中使用Nginx和OpenSSL实现双向认证可以提高通信的安全性。 首先,需要生成证书和私钥。可以使用OpenSSL生成自签名的证书和私钥,其中私钥用于签署证书,并使用公钥加密通信。 然后,将生成的证书和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值