二 docker安装ca证书

最新推荐文章于 2024-05-11 11:21:16 发布
最新推荐文章于 2024-05-11 11:21:16 发布
阅读量7.8k 收藏 29
点赞数 5
分类专栏: docker 文章标签: docker安装ca证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40250122/article/details/98893559
版权

一、Docker CA认证

使用idea+docker部署一时爽, 结果服务器由于2375端口被黑, 服务器变成了别人的打工仔, 防止服务器变成别人的挖矿专员,这时候就必须要配置docker的ca证书

官方例子

1、创建ca文件夹,存放CA私钥和公钥
[root@localhost ~]# mkdir -p /usr/local/ca
[root@localhost ~]# cd /usr/local/ca/
2、创建密码

需要连续输入两次相同的密码

[root@localhost ca]# openssl genrsa -aes256 -out ca-key.pem 4096
Generating RSA private key, 4096 bit long modulus
...................++
..........................................................................................................................................................................................................................................................................................................................................................++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem:
Verifying - Enter pass phrase for ca-key.pem:
3、依次输入密码、国家、省、市、组织名称等
[root@localhost ca]# openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
Enter pass phrase for ca-key.pem:
Enter pass phrase for ca-key.pem:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:zj
Locality Name (eg, city) [Default City]:hz
Organization Name (eg, company) [Default Company Ltd]:qdsg
Organizational Unit Name (eg, section) []:qdsg
Common Name (eg, your name or your server's hostname) []:qdsg
Email Address []:1@qq.com
[root@localhost ca]# openssl genrsa -out server-key.pem 4096
Generating RSA private key, 4096 bit long modulus
...........................++
................++
e is 65537 (0x10001)
4、生成server-key.pem
[root@localhost ca]# openssl genrsa -out server-key.pem 4096
Generating RSA private key, 4096 bit long modulus
.................................................................................................................................................++
.................................................++
e is 65537 (0x10001)
5、把下面的$Host换成你自己服务器外网的IP或者域名

openssl req -subj “/CN=$HOST” -sha256 -new -key server-key.pem -out server.csr
比如
openssl req -subj “/CN=192.168.1.106” -sha256 -new -key server-key.pem -out server.csr

openssl req -subj “/CN=www.baidu.com” -sha256 -new -key server-key.pem -out server.csr

我这里使用局域网进行测试

[root@localhost ca]# openssl req -subj "/CN=192.168.1.106" -sha256 -new -key server-key.pem -out server.csr
6、配置白名单

也就是你接下来要允许那些ip可以连接到服务器的docker,因为已经是ssl连接,所以我推荐配置0.0.0.0,也就是所有ip都可以连接(但只有拥有证书的才可以连接成功),这样配置好之后公司其他人也可以使用。如果你不想这样,那你可以配置ip,用逗号分隔开。下面的$Host依旧是你服务器外网的IP或者域名,请自行替换。

注意!!!!这里我踩了坑
如果你填写的是ip地址的话命令如下echo subjectAltName = IP: H O S T , I P : 0.0.0.0 > > e x t f i l e . c n f 如 果 你 填 写 的 是 域 名 的 话 命 令 如 下 e c h o s u b j e c t A l t N a m e = D N S : HOST,IP:0.0.0.0 >> extfile.cnf 如果你填写的是域名的话命令如下 echo subjectAltName = DNS: HOST,IP:0.0.0.0>>extfile.cnfechosubjectAltName=DNS:HOST,IP:0.0.0.0 >> extfile.cnf
我这里使用局域网进行测试

[root@localhost ca]# echo subjectAltName = IP:192.168.1.106,IP:0.0.0.0 >> extfile.cnf
7、执行命令,将Docker守护程序密钥的扩展使用属性设置为仅用于服务器身份验证
[root@localhost ca]# echo extendedKeyUsage = serverAuth >> extfile.cnf
8、执行命令,并输入之前设置的密码,生成签名证书
[root@localhost ca]# openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \-CAcreateserial -out server-cert.pem -extfile extfile.cnf
Signature ok
subject=/CN=192.168.1.106
Getting CA Private Key
Enter pass phrase for ca-key.pem:
9、生成客户端的key.pem,到时候把生成好的几个公钥私钥拷出去即可
[root@localhost ca]# openssl genrsa -out key.pem 4096
Generating RSA private key, 4096 bit long modulus
...........................................................................................................................................................................................................................................................................................................................................................................++
......................................................................................................................................++
e is 65537 (0x10001)
10、执行命令
[root@localhost ca]# openssl req -subj '/CN=client' -new -key key.pem -out client.csr
11、执行命令,要使密钥适合客户端身份验证,请创建扩展配置文件
[root@localhost ca]# echo extendedKeyUsage = clientAuth >> extfile.cnf
11、执行命令,要使密钥适合客户端身份验证,请创建扩展配置文件
[root@localhost ca]# echo extendedKeyUsage = clientAuth >> extfile.cnf
12、生成cert.pem,需要输入前面设置的密码,生成签名证书
[root@localhost ca]# openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \-CAcreateserial -out cert.pem -extfile extfile.cnf
Signature ok
subject=/CN=client
Getting CA Private Key
Enter pass phrase for ca-key.pem:
13、删除不需要的文件,两个证书签名请求
[root@localhost ca]# rm -v client.csr server.csr
rm:是否删除普通文件 "client.csr"?y
已删除"client.csr"
14、修改权限,要保护您的密钥免受意外损坏,请删除其写入权限。要使它们只能被您读取,更改文件模式
[root@localhost ca]# chmod -v 0400 ca-key.pem key.pem server-key.pem
mode of "ca-key.pem" changed from 0644 (rw-r--r--) to 0400 (r--------)
mode of "key.pem" changed from 0644 (rw-r--r--) to 0400 (r--------)
mode of "server-key.pem" changed from 0644 (rw-r--r--) to 0400 (r--------)
证书可以是对外可读的,删除写入权限以防止意外损坏
[root@localhost ca]# chmod -v 0444 ca.pem server-cert.pem cert.pem
mode of "ca.pem" changed from 0644 (rw-r--r--) to 0444 (r--r--r--)
mode of "server-cert.pem" changed from 0644 (rw-r--r--) to 0444 (r--r--r--)
mode of "cert.pem" changed from 0644 (rw-r--r--) to 0444 (r--r--r--)
15、归集服务器证书
[root@localhost ca]# cp server-*.pem  /etc/docker/
[root@localhost ca]# cp ca.pem /etc/docker/
16、修改Docker配置,使Docker守护程序仅接受来自提供CA信任的证书的客户端的连接
[root@localhost ca]# vim /lib/systemd/system/docker.service


ExecStart=/usr/bin/dockerd
替换为:

ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock
17、重新加载daemon并重启docker
[root@localhost ~]# systemctl daemon-reload 
[root@localhost ~]# systemctl restart docker
18、开放2376端口 ( 阿里云服务器端口也要打开)
[root@localhost ca]# /sbin/iptables -I INPUT -p tcp --dport 2376 -j ACCEPT

[root@localhost ca]# iptables-save
# Generated by iptables-save v1.4.21 on Wed Oct 17 14:47:38 2018
*nat
:PREROUTING ACCEPT [225:14836]
:INPUT ACCEPT [225:14836]
:OUTPUT ACCEPT [1:76]
:POSTROUTING ACCEPT [1:76]
:DOCKER - [0:0]
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
-A DOCKER -i docker0 -j RETURN
COMMIT
# Completed on Wed Oct 17 14:47:38 2018
# Generated by iptables-save v1.4.21 on Wed Oct 17 14:47:38 2018
*filter
:INPUT ACCEPT [8:2858]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [39:30400]
:DOCKER - [0:0]
:DOCKER-ISOLATION-STAGE-1 - [0:0]
:DOCKER-ISOLATION-STAGE-2 - [0:0]
:DOCKER-USER - [0:0]
-A INPUT -p tcp -m tcp --dport 2376 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2375 -j ACCEPT
-A FORWARD -j DOCKER-USER
-A FORWARD -j DOCKER-ISOLATION-STAGE-1
-A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o docker0 -j DOCKER
-A FORWARD -i docker0 ! -o docker0 -j ACCEPT
-A FORWARD -i docker0 -o docker0 -j ACCEPT
-A DOCKER-ISOLATION-STAGE-1 -i docker0 ! -o docker0 -j DOCKER-ISOLATION-STAGE-2
-A DOCKER-ISOLATION-STAGE-1 -j RETURN
-A DOCKER-ISOLATION-STAGE-2 -o docker0 -j DROP
-A DOCKER-ISOLATION-STAGE-2 -j RETURN
-A DOCKER-USER -j RETURN
COMMIT
# Completed on Wed Oct 17 14:47:38 2018
19、重启docker
[root@localhost ca]# service docker restart
20、保存相关客户端的pem文件到本地

在这里插入图片描述

21、idea的配置

在这里插入图片描述

22、若出现以下错误,请查看前面的步骤是否遗漏或出错

在这里插入图片描述

Young--
关注
  • 5
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
docker远程登陆证书安装
An_jiangzhi的博客
07-26 360
1.安装Docker CE 之前需要删除Docker 旧版本 yum remove docker docker-common docker-selinux docker-engine 2.安装Docker 所需的软件包,yum-utils提供了yum-config-manager效用,并device-mapper-persistent-data和lvm2由需要 devicemapper存储驱动程序 yum install -y yum-utils device-mapper-persistent-d
docker配置ca证书
无bug不人生
07-12 2041
参考 脚本 ca证书生成脚本 #!/bin/bash # ------------------------------------------------------------- # 自动创建 Docker TLS 证书 # ------------------------------------------------------------- # config # --[BEGIN]------------------------------ # 代码,可以随便写 CODE="WRETCHANT"
在云服务器中,通过docker部署的nginx,如何配置http和https
honoursky的博客
04-15 582
直接编写配置文件server {# HTTP的默认访问端口80listen 80;# 填写服务器ip 【两种选择选其一】# 有域名选择此条# 没有域名选择此条# 将所有HTTP请求通过rewrite指令重定向到HTTPS。#一层代理时是用户真实ip,层代理时是第一台nginxip#一层代理时没有值,多层代理里面会存储多个ip值,第一个值就是真实用户ip。
docker安全配置以及部署Docker-TLS加密通讯
ljj的学习笔记
04-05 534
目录一、Docker 容器与虚拟机的区别1、隔离与共享2、性能与损耗Docker 存在的安全问题1、Docker 自身漏洞2、Docker 源码问题三、Docker 架构缺陷1、容器之间的局域网攻击2、DDoS 攻击耗尽资源3、有漏洞的系统调用4、共享root用户权限四、Docker 安全基线标准1、内核级别2、主机级别3、网络级别4、镜像级别5、容器级别6、其他设置五、部分安全操作1、容器最小化2、Docker remote api 访问控制3、限制流量流向4、镜像安全5、Docker-TLS加密通讯
使用docker pull更新时的证书过期不可用问题踩坑排坑
最新发布
digdugbomb的博客
05-11 1480
这将安装最新版本的 CA 证书包,其中包含了根证书等重要的 SSL/TLS 证书。我直接采用更新证书的方法,里面还有绕过ssl/tls的,从任何角度来说都不推荐。查了一下,centos7的SSL/TLS证书过期或者不可用,需要强制更新。4.这将把这些证书添加到系统的证书存储库中。都完成以后,重启docker。这将强制更新证书存储库。
Docker学习(十一)-----docker-ca加密认证
qq_44623314的博客
09-12 763
前面提到的配置是允许所有人都可以访问的,因为docker默认是root权限的,把2375端口暴露在外面,意味着别人随时都可以提取到你服务器的root权限,很容易被黑客黑,因此,docker官方推荐使用加密的tcp连接,以https的方式与客户端建立连接官网文档。
Docker的安全屏障(CA证书
zhuwei的博客
08-04 889
Docker安全及日志管理前言一、Docker容器和虚拟机的区别性能损耗隔离与共享docker安全问题自身漏洞源码缺陷三、docker 安全缺陷DDOS攻击资源耗尽系统漏洞共享root用户权限局域网攻击四、docker 安全基线标准内核级别主机级别网络级别镜像级别容器级别其他设置五、docker安全配置api远程访问控制限制流量流向创建CA证书 前言 一、Docker容器和虚拟机的区别 性能损耗 与虚拟机相比,容器资源损耗要少。同样的宿主机下,能够建立容器的数量要比虚拟机多。但是,虚拟机的安全性要比容器稍好
linux环境docker安装应用/配置证书
SHNotCultrue的博客
11-18 1243
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
docker部署rancher证书过期问题解决方案
04-24
Docker环境中部署Rancher时,可能会遇到Rancher证书过期的问题,这将导致Kubernetes集群内部的通信出现异常。以下是一个详尽的解决方案,涵盖了问题的原因、异常现象以及具体的解决步骤。 **问题原因** Rancher在...
docker 安装mysql
01-08
环境 阿里云 Ubuntu 安装步骤 ...# step 2: 安装GPG证书 curl -fsSL http://mirrors.aliyun.com/docker-ce/linux/ubuntu/gpg | sudo apt-key add - # Step 3: 写入软件源信息 sudo add-apt-repository d
Docker 开启SSL证书加密远程链接
01-07
创建CA证书1.4. 创建服务端私钥1.5. 创建服务端签名请求证书文件1.6. 创建签名生效的服务端证书文件1.7. 创建客户端私钥1.8. 创建客户端签名请求证书文件1.9. 创建extfile.cnf的配置文件1.10. 创建签名生效的客户端...
Fabric-CA-1.1服务(docker服务)
07-16
1. Fabric版本1.1 2. Docker方式启动 3. TLS证书服务 4. CA证书服务
一键远程连接docker脚本.zip
04-12
根据Docker官网文档给出的解决方法总结了这个生成Docker需要的CA证书的脚本,一键生成CA证书,当然还是需要配置docker.service文件,并没有做到完全一键搞定哈,脚本文件只是txt类型的,需要将其内容导入sh脚本或...
Docker使用CA认证
AnblackCat的学习笔记
02-03 2393
在idea中一键部署项目到DockerCA认证 不使用 CA 认证的方法在 这里 本文直接开始介绍使用 CA 认证远程连接 docker,不使用 CA 认证也行,在自己的虚拟机里面可以这么干,但是放到联网的服务器上就不建议这么做了,原因是,你把2375端口暴露在外面,意味着别人随时都可以提取到你服务器的root权限,是很容易被黑客黑的(笔者就是被当成了矿机的一例QwQ)。因此,docker官方...
docker基础(21):配置CA证书远程发布项目
不积跬步,无以至千里
03-22 1605
如果你没有docker远程发布的经验,建议先查看简单的发布方式 docker基础(15):idea插件远程发布项目 文章目录概述操作流程配置证书&开启远程端口2测试配置idea 概述 生产环境禁止将docker远程发布端口无密钥的暴露到公网,否则分分变成矿机。 #编辑/lib/systemd/system/docker.service vim /lib/systemd/system/docker.service #开启远程(不要在公网这么干) ExecStart=/usr/bin/dockerd -
docker/harbor自签名证书安装
fengzhw的专栏
03-20 487
centos下面安装自签名CA证书
docker 下 elasticsearch安装证书
暮眼蝶
05-26 740
docker 下 elasticsearch安装证书
docker 证书安装 以及 idea打包build 到具体docker服务
do_you_like_van_game的博客
09-15 426
#docker和idea建立安全连接 创建文件夹 mkdir -p /usr/local/ca /usr/local/ca openssl genrsa -aes256 -out ca-key.pem 4096 记住输入的密码 openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem 填写自定义参数 Country Name (2 letter code) [XX]:CN State or Provi.
docker中配置 CA证书,新建 root-ca.cnf
06-02
要在Docker中配置CA证书并新建root-ca.cnf文件,可以按照以下步骤: 1. 在主机上创建一个名为root-ca.cnf的文件,并将以下内容复制到文件中: ``` [ req ] default_bits = 2048 default_keyfile = ca.key distinguished_name = req_distinguished_name prompt = no [ req_distinguished_name ] countryName = Country Name (2 letter code) countryName_default = US stateOrProvinceName = State or Province Name (full name) stateOrProvinceName_default = CA localityName = Locality Name (eg, city) localityName_default = San Francisco organizationName = Organization Name (eg, company) organizationName_default = My Company organizationalUnitName = Organizational Unit Name (eg, section) organizationalUnitName_default = My Section commonName = Common Name (eg, fully qualified host name) commonName_default = My Root CA ``` 2. 在主机上创建一个名为ca.key的私钥文件,命令如下: ``` openssl genrsa -out ca.key 2048 ``` 3. 使用root-ca.cnf文件中定义的参数创建一个自签名的根证书,命令如下: ``` openssl req -new -x509 -key ca.key -out ca.crt -config root-ca.cnf ``` 这将生成一个名为ca.crt的自签名根证书文件,可以将其用于Docker中的SSL/TLS配置。请注意,在将证书文件复制到Docker容器中时,应将其复制到容器中的适当位置,并使用docker run命令中的-v标志将其挂载到容器中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值