docker设置tls加密远程访问

已于 2022-05-27 19:49:25 修改
阅读量694 收藏 4
点赞数
分类专栏: go 文章标签: docker linux 服务器
于 2022-05-27 11:31:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38120778/article/details/125000649
版权

一、生成密钥

1、在Linux服务器上建一个目录,进入此目录,我这里是/root/docker
创建根证书RSA私钥(需要输入密码):

openssl genrsa -aes256 -passout pass:123456 -out ca-key.pem 4096

2、生成CA秘钥文件ca-key.pem;
以此秘钥创建CA证书,自己给自己签发证书,自己就是CA机构,也可以交给第三方机构去签发(需要输入密码):

openssl req -new -x509 -passin pass:123456 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem

3、 创建服务端私钥:

openssl genrsa -out server-key.pem 4096

4、生成服务端证书签名请求(csr即certificate signing request,里面包含公钥与服务端信息)

openssl req -passin pass:123456 -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr

5、生成签名过的服务端证书(需修改IP地址):

echo subjectAltName = DNS:*,IP:xxx.xxx.xxx.xxx,IP:127.0.0.1 >> extfile.cnf
echo extendedKeyUsage = serverAuth >> extfile.cnf
openssl x509 -req -passin pass:123456 -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem  -CAcreateserial -out server-cert.pem -extfile extfile.cnf

6、生成客户私钥:

openssl genrsa -out key.pem 4096

7、生成客户端证书签名请求:

openssl req -passin pass:123456 -subj '/CN=client' -new -key key.pem -out client.csr

8、 生成名为extfile.cnf的配置文件:

echo extendedKeyUsage = clientAuth > extfile-client.cnf

9、复制生成签名过的客户端证书,并设置权限:

openssl x509 -req -passin pass:123456 -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile-client.cnf
rm -f client.csr server.csr extfile.cnf extfile-client.cnf
chmod -v 0400 ca-key.pem key.pem server-key.pem

10.一步搞定
需修改第5行IP地址

openssl genrsa -aes256 -passout pass:123456 -out ca-key.pem 4096  
openssl req -new -x509 -passin pass:123456 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem
openssl genrsa -out server-key.pem 4096
openssl req -passin pass:123456 -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr
echo subjectAltName = DNS:*,IP:xxx.xxx.xxx.xxx,IP:127.0.0.1 >> extfile.cnf
echo extendedKeyUsage = serverAuth >> extfile.cnf
openssl x509 -req -passin pass:123456 -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem  -CAcreateserial -out server-cert.pem -extfile extfile.cnf
openssl genrsa  -out key.pem 4096
openssl req -passin pass:123456 -subj '/CN=client' -new -key key.pem -out client.csr
echo extendedKeyUsage = clientAuth > extfile-client.cnf
openssl x509 -req -passin pass:123456 -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile-client.cnf
rm -f client.csr server.csr extfile.cnf extfile-client.cnf
chmod -v 0400 ca-key.pem key.pem server-key.pem

二、设置docker配置

Docker的TLS连接设置打开文件/lib/systemd/system/docker.service:
修改ExecStart行

vim /lib/systemd/system/docker.service

ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock --tlsverify --tlscacert=/root/docker/ca.pem --tlscert=/root/docker/server-cert.pem --tlskey=/root/docker/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock

三、客户端复制三个文件

key.pem,cert.pem,ca.pem
运行命令如下:

docker --tlsverify --tlscacert=/root/docker/ca.pem --tlscert=/root/docker/cert.pem --tlskey=/root/docker/key.pem -H tcp://device01:2376 version
掉了牙的大黄狗
关注
专栏目录
Docker实验(六)Docker搭建本地仓库,私有仓库(设置加密以及访问控制)
qq_39376481的博客
07-07 1466
一.概念讲解 1.仓库分为公开仓库(Public)和私有仓库(Private)两种形式。最大的公开仓库是 Docker Hub,存放了数量庞大的镜像供用户下载。 国内的公开仓库包括 Docker Pool等,可以提供大陆用户更稳定快速的访问。 2.当然,用户也可以在本地网络内创建一个私有仓库。当用户创建了自己的镜像之后就可以使用 push 命令将它上传到公有或者私有仓库,这样下次在另外一台机器上使...
Docker安全(TLS加密通讯,图文详解!)
qq_35456705的博客
03-31 522
Docker安全 文章目录Docker安全一、Docker 容器与虚拟机的区别1.隔离与共享2.性能与损耗二、Docker 存在的安全问题1.Docker 自身漏洞2.Docker 源码问题三、Docker 架构缺陷与安全机制四、Docker 安全基线标准1.内核级别2.主机级别3.网络级别4.镜像级别5.容器级别6.其他设置五、容器最小化1)Docker remote api 访问控制2)限制流量流向3)镜像安全4)Docker-TLS加密通讯 一、Docker 容器与虚拟机的区别 1.隔离与共享 虚拟机
Docker 安全加密系统
LI_MINGXUAN的博客
03-31 1115
Docker 安全一.Docker 容器与虚拟机的区别二.Docker 存在的安全问题1.Docker 自身漏洞2. Docker 源码问题三.Docker 架构缺陷与安全机制1. 容器之间的局域网攻击2. DDoS 攻击耗尽资源3. 有漏洞的系统调用4. 共享root用户权限四.Docker 安全基线标准1.内核级别2.主机级别3.网络级别4.镜像级别5.容器级别6.其他设置五.Docker remote api 访问控制六.限制流量流向七.镜像安全八.Docker-TLS加密通讯 一.Docker 容器
容器docker数据卷加密
最新发布
weixin_40911489的博客
08-19 154
我整理的一些关于【容器,Docker】的项目学习资料(附讲解~~)和大家一起分享、学习一下:https://d.51cto.com/xltfov容器Docker数据卷加密 随着云计算和容器化技术的迅猛发展,Docker作为一种流行的容器平台,越来越多地被运用在生产环境中。在使用Docker容器时,数据的持久性和安全性是一...
docker加密访问及idea部署服务到docker(配置共享)
zlhmeng的博客
06-16 1961
你自山河林间来 惊鸿一瞥百花开 从此我便无别意 千头万绪皆为爱 docker远程访问 之前刚学的时候,看见网上很多关于开启远程访问的教程,都是修改docker.service文件,然后开启2375端口,这种方式只适合在本地测试,后面我在线上部署了一个,第二天发现服务器被拉去挖矿了,我丢。 但是我又想在线上服务器docker部署服务,所以我们需要对服务器进行加密,你也可以使用jenkins,当然这也就不需要开启docker远程端口了。 生成证书 我们需要生成ca证书,然后引用证书 证书生成参考自:https
docker remote api一键TLS加密
独孤清扬玩DB
07-12 589
docker api
Docker系列:docker开启远程加密访问,并使用Portainer远程管理
落叶
07-23 342
现在 Docker 作为一种轻量级的容器化技术,已经被广泛应用于开发、测试和生产环境。为了更方便地管理 Docker 容器,有时候我们需要远程访问 Docker 守护进程,例如:Portainer 远程管理容器的时候。但是,远程访问会带来安全风险,因此开启加密远程访问显得尤为重要。本篇博客将详细介绍如何开启 Docker 加密远程访问,并且使用 Portainer 远程连接 Docker
Docker启用TLS实现安全配置的步骤
09-29
Docker启用TLS(Transport Layer Security)是保护Docker守护进程套接字安全的重要步骤,它为Docker远程API提供加密和身份验证,防止未授权访问和数据泄露。TLS是一种广泛使用的网络安全协议,用于确保网络通信的...
使用TLS加密通讯远程连接Docker的示例详解
01-20
为了确保远程访问Docker守护程序的安全性,可以启用Transport Layer Security (TLS) 加密。本教程将详细介绍如何配置TLS,以便安全地通过网络远程连接到Docker。 首先,我们需要创建一个证书颁发机构(CA)证书目录...
Docker-TLS详解
繁星若渺的博客
03-17 1552
目录一、Docker 存在的安全问题1.1、Docker 自身漏洞1.2、Docker 源码问题1.3、Docker 架构缺陷与安全机制1.3.1、容器之间的局域网攻击1.3.2、DDoS 攻击耗尽资源1.3.3、有漏洞的系统调用1.3.4、共享root用户权限1.4、Docker 安全基线标准1.4.1、内核级别1.4.2、主机级别1.4.3、网络级别1.4.4、镜像级别1.4.5、容器级别1.4.6、其他设置1.5、容器最小化1.6、Docker remote api 访问控制1.6.1、示例1.6.1
Docker——docker安全、Docker remote api 访问控制、TLS加密通讯
ML908的博客
04-28 2528
文章目录一、Docker 容器与虚拟机的区别1、隔离与共享2、性能与损耗二、Docker 存在的安全问题1、Docker 自身漏洞2、 Docker 源码问题三、Docker 架构缺陷与安全机制1、容器之间的局域网攻击2、 DDoS 攻击耗尽资源3、有漏洞的系统调用4、共享root用户权限四、Docker 安全基线标准1、内核级别2、主机级别3、网络级别4、镜像级别5、容器级别6、其他设置五、容器...
docker 版本clickhouse支持远程连接 加上密码
qq_37401291的博客
01-28 2296
首先安装docker 安装网址:https://www.runoob.com/docker/centos-docker-install.html 使用官方安装脚本自动安装 curl -fsSL https://get.docker.com | bash -s docker --mirror Aliyun 拉取clickhouse镜像 docker pull clickhouse/clickhouse-server 设置外部用户名密码和远程文件 mkdir -p /usr/local/clickhouse
TLS加密套件
专注探索c++,Linux等后台开发相关机制,欢迎关注,欢迎交流
10-13 1800
TLS加密套件包含密钥交换算法、用于加密通信报文的块加密算法(对称加密算法)及会话校验算法(MAC算法),如 TLS_RSA_WITH_AES_256_CBC_SHA256 表示密钥交换算法为TLS_RSA,块加密算法AES_256_CBC,会话校验算法为SHA256
Docker安全配置及Docker-TLS加密
kele_baba
08-05 2098
Docker安全配置一、Docker 容器与虚拟机的区别1、隔离与共享2、性能与损耗二、Docker 存在的安全问题1、Docker 自身漏洞2、Docker 源码问题三、Docker 架构缺陷1、容器之间的局域网攻击2、DDoS 攻击耗尽资源3、有漏洞的系统调用4、共享root用户权限四、Docker 安全基线标准1、内核级别2、主机级别3、网络级别4、镜像级别5、容器级别6、其他设置五、部分安全操作1、容器最小化2、Docker remote api 访问控制4、镜像安全5、Docker-TLS加密通讯
操作系统远程如何登录docker
12-23 1214
操作系统远程如何登录docker 远程如何登录dockerdocker容器考虑远程连接,可以通过putty或者xshell来连接。 这里以Win10系统,docker:Version 17.06.0-ce-win19 (12801)为例,来进行介绍。 容器管理:kitematic for windows 远程连接工具:xshell 容器系统:ubuntu 一、下载ubuntu容器 从ketematic中下载官方最新版ubuntu 二、准备工作 因为新装的官方ubuntu中很多命令都没
linuxdocker加密远程连接idea平台
shuangyueban的博客
04-24 258
用idea平台编写dockerfile和docker-compose真的挺方便的,不仅可以提示,而且还会报错提醒,执行和管理起来都是很人性化,但是不加密的方式,直接端口暴露出来,很容易受到攻击的,因此本篇文章介绍了如何docker加密远程连接idea。
Docker默认用户和密码
热门推荐
淡墨银痕的博客
09-29 1万+
docker进入ssh docker-machine ssh 用户名 密码 docker tcuser root docker用户切换到root用户 sudo -i 修改密码 passwd [用户名] 例如 passwd root
自建CA认证
qq_23060921的博客
04-10 235
使用时,将下面脚本保存为ca.sh 用chmod +x ca.sh,赋予文件可执行权限, 将ca.sh中的ip地址改为自己的ip地址 ./ca.sh 运行 在弹出界面中输入4位以上密码. 然后一路回车,再根据提示输入上述密码. 最后,在当前文件路径下会生成server 和 client 两个文件夹, server目录下存放的是:ca证书和服务器相关密钥证书. client目录下存放的是:clien...
Linux开启Docker远程访问设置安全访问(证书密钥),附一份小白一键设置脚本哦!
Jan's的博客
01-18 3001
喜欢折腾慢慢看,不喜欢折腾直接跳到小简下文的一键脚本那里,两分钟搞好。我的博客:https://blog.ideaopen.cn我的公众号:小简聊开发一键脚本很方便,小简推荐使用这个,不折腾,我是折腾玩儿才不用脚本的。生产环境安全不容疏忽,大家公网环境可千万别粗心大意哦!Docker很多教程都只告诉你打开连接,万一有人服务器上开启连接,那就不是很好了,所以我才写一篇安全认证配置和远程连接配置一起的教程。下期再见,小简提前祝大家新春快乐哦!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

掉了牙的大黄狗

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值