docker设置tls加密远程访问

已于 2022-05-27 19:49:25 修改
阅读量663 收藏 4
点赞数
分类专栏: go 文章标签: docker linux 服务器
于 2022-05-27 11:31:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38120778/article/details/125000649
版权

一、生成密钥

1、在Linux服务器上建一个目录,进入此目录,我这里是/root/docker
创建根证书RSA私钥(需要输入密码):

openssl genrsa -aes256 -passout pass:123456 -out ca-key.pem 4096

2、生成CA秘钥文件ca-key.pem;
以此秘钥创建CA证书,自己给自己签发证书,自己就是CA机构,也可以交给第三方机构去签发(需要输入密码):

openssl req -new -x509 -passin pass:123456 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem

3、 创建服务端私钥:

openssl genrsa -out server-key.pem 4096

4、生成服务端证书签名请求(csr即certificate signing request,里面包含公钥与服务端信息)

openssl req -passin pass:123456 -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr

5、生成签名过的服务端证书(需修改IP地址):

echo subjectAltName = DNS:*,IP:xxx.xxx.xxx.xxx,IP:127.0.0.1 >> extfile.cnf
echo extendedKeyUsage = serverAuth >> extfile.cnf
openssl x509 -req -passin pass:123456 -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem  -CAcreateserial -out server-cert.pem -extfile extfile.cnf

6、生成客户私钥:

openssl genrsa -out key.pem 4096

7、生成客户端证书签名请求:

openssl req -passin pass:123456 -subj '/CN=client' -new -key key.pem -out client.csr

8、 生成名为extfile.cnf的配置文件:

echo extendedKeyUsage = clientAuth > extfile-client.cnf

9、复制生成签名过的客户端证书,并设置权限:

openssl x509 -req -passin pass:123456 -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile-client.cnf
rm -f client.csr server.csr extfile.cnf extfile-client.cnf
chmod -v 0400 ca-key.pem key.pem server-key.pem

10.一步搞定
需修改第5行IP地址

openssl genrsa -aes256 -passout pass:123456 -out ca-key.pem 4096  
openssl req -new -x509 -passin pass:123456 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem
openssl genrsa -out server-key.pem 4096
openssl req -passin pass:123456 -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr
echo subjectAltName = DNS:*,IP:xxx.xxx.xxx.xxx,IP:127.0.0.1 >> extfile.cnf
echo extendedKeyUsage = serverAuth >> extfile.cnf
openssl x509 -req -passin pass:123456 -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem  -CAcreateserial -out server-cert.pem -extfile extfile.cnf
openssl genrsa  -out key.pem 4096
openssl req -passin pass:123456 -subj '/CN=client' -new -key key.pem -out client.csr
echo extendedKeyUsage = clientAuth > extfile-client.cnf
openssl x509 -req -passin pass:123456 -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile-client.cnf
rm -f client.csr server.csr extfile.cnf extfile-client.cnf
chmod -v 0400 ca-key.pem key.pem server-key.pem

二、设置docker配置

Docker的TLS连接设置打开文件/lib/systemd/system/docker.service:
修改ExecStart行

vim /lib/systemd/system/docker.service

ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock --tlsverify --tlscacert=/root/docker/ca.pem --tlscert=/root/docker/server-cert.pem --tlskey=/root/docker/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock

三、客户端复制三个文件

key.pem,cert.pem,ca.pem
运行命令如下:

docker --tlsverify --tlscacert=/root/docker/ca.pem --tlscert=/root/docker/cert.pem --tlskey=/root/docker/key.pem -H tcp://device01:2376 version
掉了牙的大黄狗
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Docker实验(六)Docker搭建本地仓库,私有仓库(设置加密以及访问控制)
qq_39376481的博客
07-07 1403
一.概念讲解 1.仓库分为公开仓库(Public)和私有仓库(Private)两种形式。最大的公开仓库是 Docker Hub,存放了数量庞大的镜像供用户下载。 国内的公开仓库包括 Docker Pool等,可以提供大陆用户更稳定快速的访问。 2.当然,用户也可以在本地网络内创建一个私有仓库。当用户创建了自己的镜像之后就可以使用 push 命令将它上传到公有或者私有仓库,这样下次在另外一台机器上使...
Docker默认用户和密码
热门推荐
淡墨银痕的博客
09-29 1万+
docker进入ssh docker-machine ssh 用户名 密码 docker tcuser root docker用户切换到root用户 sudo -i 修改密码 passwd [用户名] 例如 passwd root
Linux开启Docker远程访问设置安全访问(证书密钥),附一份小白一键设置脚本哦!
Jan's的博客
01-18 2896
喜欢折腾慢慢看,不喜欢折腾直接跳到小简下文的一键脚本那里,两分钟搞好。我的博客:https://blog.ideaopen.cn我的公众号:小简聊开发一键脚本很方便,小简推荐使用这个,不折腾,我是折腾玩儿才不用脚本的。生产环境安全不容疏忽,大家公网环境可千万别粗心大意哦!Docker很多教程都只告诉你打开连接,万一有人服务器上开启连接,那就不是很好了,所以我才写一篇安全认证配置和远程连接配置一起的教程。下期再见,小简提前祝大家新春快乐哦!
Docker远程访问安全问题与TLS配置并通过IDEA连接
最新发布
qq_52726195的博客
05-05 743
保存ca.pem、cert.pem、key.pem、server-cert.pem、server-key.pem这五个文件,将ca.pem、server-cert.pem、server-key.pem保存至服务器自定义位置。将ca.pem、cert.pem、key.pem下载保存到电脑,我保存在了D://Software/Docker/cert下。执行过程中要求输入pass phrase,输入一个自定义的密码即可,比如987654321,需要多次输入,保持一致即可。记得修改path为文件实际所在位置。
如何开启Docker远程访问
sg_knight的专栏
08-13 1万+
本文为转载文章,主要介绍如何开启docker远程访问并通过idea进行远程操作。
docker remote api一键TLS加密
独孤清扬玩DB
07-12 546
docker api
centos7上实现docker的安全访问-基于CA认证
wendrewshay
03-06 1793
docker-ce版本:18.09.3-rc1 由于在局域网内主机进行测试,IP为192.168.22.65,以下内容中可将所有此IP替换成自己的IP地址。 一、在docker守护进程的主机上 1、生成CA私钥文件ca-key.pem $ openssl genrsa -aes256 -out ca-key.pem 4096 2、生成CA公钥文件ca.pem $ openssl r...
Docker启用TLS实现安全配置的步骤
09-29
Docker启用TLS(Transport Layer Security)是保护Docker守护进程套接字安全的重要步骤,它为Docker远程API提供加密和身份验证,防止未授权访问和数据泄露。TLS是一种广泛使用的网络安全协议,用于确保网络通信的...
使用TLS加密通讯远程连接Docker的示例详解
01-20
为了确保远程访问Docker守护程序的安全性,可以启用Transport Layer Security (TLS) 加密。本教程将详细介绍如何配置TLS,以便安全地通过网络远程连接到Docker。 首先,我们需要创建一个证书颁发机构(CA)证书目录...
Docker开启远程安全访问的图文教程详解
09-29
正确的做法是启用基于证书的TLS加密。 #### 1. 创建CA(证书颁发机构)私钥和公钥 在Docker主机上,创建一个目录来存放私钥和公钥,并生成它们: ```bash mkdir -p /usr/local/ca cd /usr/local/ca openssl ...
Centos Docker1.12 远程Rest api访问的配置方法
09-30
因此,建议在生产环境中使用TLS加密通信,并限制允许连接的IP范围,以增强安全性。 总之,配置CentOS Docker 1.12的远程REST API访问涉及修改Docker服务配置文件,重启服务,以及在必要时设置环境变量。正确配置后...
docker Portainer
08-21
4. **添加访问控制**:为了保护你的 Docker 环境,你应该设置用户和角色,限制不同用户对资源的操作权限。 5. **使用插件**:根据需求,你可以安装和配置 Portainer 插件以增强其功能。 在实际应用中,Portainer ...
docker加密访问及idea部署服务到docker(配置共享)
zlhmeng的博客
06-16 1916
你自山河林间来 惊鸿一瞥百花开 从此我便无别意 千头万绪皆为爱 docker远程访问 之前刚学的时候,看见网上很多关于开启远程访问的教程,都是修改docker.service文件,然后开启2375端口,这种方式只适合在本地测试,后面我在线上部署了一个,第二天发现服务器被拉去挖矿了,我丢。 但是我又想在线上服务器docker部署服务,所以我们需要对服务器进行加密,你也可以使用jenkins,当然这也就不需要开启docker远程端口了。 生成证书 我们需要生成ca证书,然后引用证书 证书生成参考自:https
Docker安全配置及Docker-TLS加密
kele_baba
08-05 1649
Docker安全配置一、Docker 容器与虚拟机的区别1、隔离与共享2、性能与损耗二、Docker 存在的安全问题1、Docker 自身漏洞2、Docker 源码问题三、Docker 架构缺陷1、容器之间的局域网攻击2、DDoS 攻击耗尽资源3、有漏洞的系统调用4、共享root用户权限四、Docker 安全基线标准1、内核级别2、主机级别3、网络级别4、镜像级别5、容器级别6、其他设置五、部分安全操作1、容器最小化2、Docker remote api 访问控制4、镜像安全5、Docker-TLS加密通讯
服务器docker安装mongo设置密码并远程连接
qq_26939835的博客
10-27 1186
一、Docker创建用户 //创建容器 --restart=on-failure:10:为mongo添加重启策略,在非零状态下退出,重试次数设置为10次 -p 27017:27017:映射容器服务的 27017 端口到宿主机的 27017 端口。外部可以直接通过 宿主机 ip:27017 访问到 mongo 的服务。 --auth:需要密码才能访问容器服务。 -v:映射文件到本地文件夹,这样数据库文件就会在本地存储,即使删除了容器或镜像至少数据库文件还在,数据不会丢失。 -d:表示守护态运行 dock
偷偷学 Docker 系列 | TLS 通讯加密(理论+实操)
Xucf1
04-02 424
文章目录一、前置知识点1.密钥①对称密钥②非对称密钥③混合密钥(对称+非对称)2.签名3.数据完整性4.证书二、Docker 启用 TLS 进行加密通讯1.TLS 概述2.TLS 原理2.部署步骤 一、前置知识点 1.密钥 ①对称密钥 是一种加密和解密使用相同密钥的算法,效率较高,可加密内容较大,用来加密会话过程中的消息,适用于大规模生产的环境下使用 就像固定的一道门与一把钥匙一样,但是,对称加密算法在分布式网络系统上使用较为困难,因为密钥管理困难,使用成本较高,还是这个比方,你去收租,几百串钥匙你管的烦
TLS加密套件
专注探索c++,Linux等后台开发相关机制,欢迎关注,欢迎交流
10-13 1719
TLS加密套件包含密钥交换算法、用于加密通信报文的块加密算法(对称加密算法)及会话校验算法(MAC算法),如 TLS_RSA_WITH_AES_256_CBC_SHA256 表示密钥交换算法为TLS_RSA,块加密算法AES_256_CBC,会话校验算法为SHA256
docker容器加密访问的方法
ling的专栏
01-08 9339
对于宿主主机能够操作docker的账号拥有很大的权限,它可以进入宿主主机的所有容器中,因为容器本身的进出是不能加密的。 这种情况在开发测试中不愿意被看到的,可行的办法就是把编辑代码所用的账号和拥有docker权限的账号分开,然后通过ssh的方式登录测试容器环境。 一、容器安装ssh 进入容器中 1.直接安装ssh apt-get update apt-get install openssh-server 如果安装ssh报如下错误: E: Sub-process /usr/bin/dpkg
操作系统远程如何登录docker
12-23 1192
操作系统远程如何登录docker 远程如何登录dockerdocker容器考虑远程连接,可以通过putty或者xshell来连接。 这里以Win10系统,docker:Version 17.06.0-ce-win19 (12801)为例,来进行介绍。 容器管理:kitematic for windows 远程连接工具:xshell 容器系统:ubuntu 一、下载ubuntu容器 从ketematic中下载官方最新版ubuntu 二、准备工作 因为新装的官方ubuntu中很多命令都没
docker安装clickhouse配置远程访问
12-29
以下是使用Docker安装ClickHouse并配置远程访问的步骤: 1. 首先,确保已经安装了Docker。如果没有安装,请根据您的操作系统进行安装。 2. 打开终端或命令提示符,并运行以下命令来拉取ClickHouse的Docker镜像: `...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

掉了牙的大黄狗

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值