需求:最近要使用idea的docker插件来实现持续集成和部署运行的功能,就在服务器开放了2375端口,但是后续问题就来了,2375没有任何的保护措施,只要知道服务器ip就可以操控镜像和容器,后续服务器就被各种挖矿程序植入,导致内存和cpu爆满,所以为了解决这个安全问题,做了TLS和CA认证。
1.在服务器创建CA文件目录(自己指定,后续所有操作都在必须此目录下进行)
mkdir /salong/docker-ca
cd /salong/docker-ca
2.创建CA证书私钥,期间需要输入两次密码,记住这个密码,后续会用到,最后生成文件为ca-key.pem
openssl genrsa -aes256 -out ca-key.pem 4096
3.根据私钥创建CA证书,期间需要输入上一步设置的私钥密码,然后依次输入国家是 CN,省例如是Guangdong、市shenzhen、组织名称、组织单位、邮件地址,都可以随意填写,生成文件为ca.pem,
其中,网上对于服务器或你的姓名字段(Common Name)有争议,有人说必须要输入自己的服务器ip,有人说随便输,这里我还是输入了我自己服务器的公网ip,建议还是输入自己的服务器公网ip。
openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
输入示例:
Country Name (2 letter code) : CN
State or Province Name (full name) [Some-State]:Guangdong
Locality Name (eg, city) []:shenzhen
Organization Name (eg, company) [Internet Widgits Pty Ltd]: xxx
Organizational Unit Name (eg, section) []:xxx
Common Name (e.g. server FQDN or YOUR name) []:$HOST
Email Address []: xxx@aliyun.com
4.创建服务端私钥,生成文件为server-key.pem
openssl genrsa -out server-key.pem 4096
5.创建服务端证书签名请求文件,用于CA证书给服务端证书签名。IP需要换成自己服务器的IP地址,或者域名都可以。生成文件server.csr
openssl req -subj "/CN=服务器公网IP地址" -sha256 -new -key server-key.pem -out server.csr
6.配置白名单,用多个用逗号隔开(网上对此有争议,我建议0.0.0.0必须写,不写可能会出错)
echo subjectAltName = IP:你的服务器公网ip,IP:0.0.0.0 >> extfile.cnf
7.将Docker守护程序密钥的扩展使用属性设置为仅用于服务器身份验证
echo extendedKeyUsage = serverAuth >> extfile.cnf
8.创建CA证书签名好的服务端证书,期间需要输入CA证书私钥密码,生成文件为server-cert.pem
openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \
-CAcreateserial -out server-cert.pem -extfile extfile.cnf
9.创建客户端私钥,生成文件为key.pem
openssl genrsa -out key.pem 4096 Generating RSA private key, 4096 bit long modulus
10.创建客户端证书签名请求文件,用于CA证书给客户证书签名,生成文件client.csr
openssl req -subj '/CN=client' -new -key key.pem -out client.csr
11.要使密钥适合客户端身份验证,创建扩展配置文件
echo extendedKeyUsage = clientAuth > extfile-client.cnf
12.创建CA证书签名好的客户端证书,期间需要输入CA证书私钥密码,生成文件为cert.pem
openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \
-CAcreateserial -out cert.pem -extfile extfile-client.cnf
13.复制文件
cp server-*.pem /etc/docker/ && cp ca.pem /etc/docker/
14.修改docker.service文件配置
vi /usr/lib/systemd/system/docker.service
15.修改以ExecStart开头的配置,开启TLS认证,并配置好CA证书、服务端证书和服务端私钥
这一段前面如果是ExecStart=/usr/bin/dockerd-current的不要修改,建议只复制 --tlsverify和它后面的内容,否则会出现容器列表丢失和无法找到容器的问题。
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock
16.重载deamon
systemctl daemon-reload
17.重启docker
service docker restart
18.配置idea
首先将这三个证书文件存到本地,放在指定的目录下。
打开idea,进行配置。(将url中的tcp改为https,证书folder选择上一步证书的存储位置)