docker配置TLS 2376

已于 2022-02-25 23:46:45 修改
阅读量1.1k 收藏 1
点赞数
分类专栏: docker 文章标签: docker 容器 运维
于 2022-02-18 22:37:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40387355/article/details/123012142
版权

1 复制执行shell脚本,只需改动SERVER即可

#创建 Docker TLS 证书
#!/bin/bash

#相关配置信息
# docker主机IP
SERVER="ip"
# 密码
PASSWORD="2cx&BUjsV4u%3Tz9"
# 国家
COUNTRY="CN"
# 省份
STATE="广东省"
# 城市
CITY="深圳市"
# 机构名称
ORGANIZATION="白的公司"
# 机构单位
ORGANIZATIONAL_UNIT="白的单位"
# 邮箱
EMAIL="liushaohui777@163.com"

###开始生成文件###
echo "开始生成文件"

#切换到生产密钥的目录
cd /etc/docker   
#生成ca私钥(使用aes256加密)
openssl genrsa -aes256 -passout pass:$PASSWORD  -out ca-key.pem 2048
#生成ca证书,填写配置信息
openssl req -new -x509 -passin "pass:$PASSWORD" -days 3650 -key ca-key.pem -sha256 -out ca.pem -subj "/C=$COUNTRY/ST=$STATE/L=$CITY/O=$ORGANIZATION/OU=$ORGANIZATIONAL_UNIT/CN=$SERVER/emailAddress=$EMAIL"

#生成server证书私钥文件
openssl genrsa -out server-key.pem 2048
#生成server证书请求文件
openssl req -subj "/CN=$SERVER" -new -key server-key.pem -out server.csr

echo "subjectAltName=IP:${SERVER},IP:0.0.0.0" >> extfile.cnf
echo "extendedKeyUsage=serverAuth" >> extfile.cnf

#使用CA证书及CA密钥以及上面的server证书请求文件进行签发,生成server自签证书
openssl x509 -req -days 3650 -in server.csr -CA ca.pem -CAkey ca-key.pem -passin "pass:$PASSWORD" -CAcreateserial  -out server-cert.pem -extfile extfile.cnf

#生成client证书RSA私钥文件
openssl genrsa -out key.pem 2048
#生成client证书请求文件
openssl req -subj '/CN=client' -new -key key.pem -out client.csr

sh -c 'echo "extendedKeyUsage=clientAuth" > extfile.cnf'

#生成client自签证书(根据上面的client私钥文件、client证书请求文件生成)
openssl x509 -req -days 3650 -in client.csr -CA ca.pem -CAkey ca-key.pem  -passin "pass:$PASSWORD" -CAcreateserial -out cert.pem  -extfile extfile.cnf

#更改密钥权限
chmod 0400 ca-key.pem key.pem server-key.pem
#更改密钥权限
chmod 0444 ca.pem server-cert.pem cert.pem
#删除无用文件
rm client.csr server.csr extfile.cnf  ca.srl

echo "生成文件完成"
###生成结束###

#开始修改docker启动配置文件
sed -i '19i --tlsverify \\' /usr/lib/systemd/system/docker.service
sed -i '20i --tlscacert=/etc/docker/ca.pem \\' /usr/lib/systemd/system/docker.service
sed -i '21i --tlscert=/etc/docker/server-cert.pem \\' /usr/lib/systemd/system/docker.service
sed -i '22i --tlskey=/etc/docker/server-key.pem \\' /usr/lib/systemd/system/docker.service
sed -i '23i -H tcp://0.0.0.0:2376 \\' /usr/lib/systemd/system/docker.service
sed -i '24i -H unix:///var/run/docker.sock \\' /usr/lib/systemd/system/docker.service

# 重新加载文件
systemctl daemon-reload
systemctl restart docker.service

2 用netstat -tunlp查看是否已启用2376端口

3 吧客户端用的秘钥拷贝过去,并访问

scp /etc/docker/*pem username@HOST:/etc/docker



docker --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/cert.pem --tlskey=/etc/docker/key.pem -H=ip:2376 version

4 把秘钥等配置进客户端的环境变量
(1)

# mkdir -pv ~/.docker
cp -v {ca,cert,key}.pem ~/.docker

定义临时变量(非必要)
export DOCKER_CERT_PATH=~/.docker/

之后直接调用

docker -H=ip:2376  --tlsverify  version

在这里插入图片描述
(2)添加环境变量DOCKER_HOST和DOCKER_TLS_VERIFY

vi /etc/profile
d.在打开的文件中最后加上新的环境变量($YOURIP替换成docker daemon host的IP即本机IP)

export DOCKER_HOST=tcp://$YOURIP:2376
export DOCKER_TLS_VERIFY=1

docker -H=ip:2376 version

在这里插入图片描述

参考总结 : https://blog.csdn.net/Mr_Duanlife/article/details/105981521
https://blog.csdn.net/qq_21187515/article/details/90262324
https://docs.docker.com/compose/reference/envvars/ 等

Aprilz_
关注
专栏目录
《伸手系列》之Docker开启2376端口CA认证
御前提笔小书童
01-20 1108
前言 众所周知,docker可以开启远程访问API,但是发现很多都是直接开启2375端口,未做安全配置,从而出现安全隐患,最近在将docker环境统一portainer管理时,发现有这种情况。本文讲解如何开启安全认证的方法,配置TLS保证API的安全。 简单粗暴的开启远程访问 1、开启方式 编辑docker文件:/usr/lib/systemd/system/docker.service vim ...
Docker-TLS详解
繁星若渺的博客
03-17 1517
目录一、Docker 存在的安全问题1.1、Docker 自身漏洞1.2、Docker 源码问题1.3、Docker 架构缺陷与安全机制1.3.1、容器之间的局域网攻击1.3.2、DDoS 攻击耗尽资源1.3.3、有漏洞的系统调用1.3.4、共享root用户权限1.4、Docker 安全基线标准1.4.1、内核级别1.4.2、主机级别1.4.3、网络级别1.4.4、镜像级别1.4.5、容器级别1.4.6、其他设置1.5、容器最小化1.6、Docker remote api 访问控制1.6.1、示例1.6.1
docker开启TLS远程访问 2376
lms99251的博客
07-18 1925
docker开启TLS远程访问的方法
深入理解 Docker(五)
最新发布
龙哥盟
07-31 395
守护进程模式客户端模式守护进程模式将拒绝来自未使用有效证书签署命令的客户端的连接。客户端模式将不会连接到没有有效证书的远程守护进程。通过 Docker 守护进程配置文件来配置 TLS。该文件名为,它是平台无关的。以下的hosts告诉 Docker 在哪个套接字上绑定守护进程。该示例将其绑定到端口2376上的网络套接字。您可以使用任何空闲端口,但惯例是在安全的 Docker 连接中使用2376。运行systemd的 Linux 系统无法使用此标志,需要使用systemd`覆盖文件。tls和。
docker配置2376端口
xwnxwn的专栏
06-17 847
也就是你接下来要允许那些ip可以连接到服务器的docker,因为已经是ssl连接,所以我推荐配置0.0.0.0,也就是所有ip都可以连接(但只有拥有证书的才可以连接成功),这样配置好之后公司其他人也可以使用。前面提到的配置是允许所有人都可以访问的,因为docker默认是root权限的,你把2375端口暴露在外面,意味着别人随时都可以提取到你服务器的root权限,是很容易被黑客黑的,因此,docker官方推荐使用加密的tcp连接,以Https的方式与客户端建立连接
docker开启2376端口CA认证及IDEA中一键部署docker项目
qq_36984017的博客
07-09 375
docker开启2376端口CA认证及IDEA中一键部署docker项目 Docker CA认证 1、创建ca文件夹,存放CA私钥和公钥 mkdir -p /usr/local/ca cd /usr/local/ca/ 2、创建密码-需要连续输入两次相同的密码 openssl genrsa -aes256 -out ca-key.pem 4096 3、依次输入密码、国家、省、市、组织名称等 openssl req -new -x509 -days 365 -key ca-key.pem -sha256
Docker启用TLS实现安全配置的步骤
09-29
同时,确保客户端Docker配置也开启TLS验证。 6. **测试连接** 确认Docker守护进程已成功启用TLS并可安全访问,可以尝试运行一个简单的Docker命令,如`docker info`。如果配置正确,命令应该能够正常执行,表明TLS...
docker开启TLS远程连接
mxrain的博客
06-21 487
最近在研究cicd jenkins 需要连接阿里云服务器的docker 2375端口, 这里用TLS方式连接docker服务 一、制作证书(docker服务的机器) 建立证书存放位置 创建CA证书私钥 创建服务端私钥 创建服务端证书签名请求文件,用于CA证书给服务端证书签名。IP需要换成自己服务器的IP地址,或者域名都可以。生成文件server.csr 配置白名单,用多个用逗号隔开,例如: IP:192.168.3.171,IP:0.0.0.0,这里需要注意,虽然0.0.0.0
docker——tls(ssl)加密通信
Yusheng9527的博客
03-16 1962
docker——tls(ssl)加密通信DockerClient端与DockerDaemon的通信安全(https证书)背景使用证书访问的工作流程部署思路证书创建过程环境准备创建一个存放目录生成ca证书1)创建ca私钥2)创建ca证书用ca证书签发server端证书1)创建服务器私钥2)生成证书签名请求文件(csr文件)3)使用ca证书与私钥证书签发服务端签名证书用ca证证书签发client端证书1)生成客户端私钥2)生成证书签名请求文件3)创建扩展配置文件,使秘钥适合客户端身份验证4)使用ca证书签发客户
centos7 docker开启认证的远程端口2376配置教程
热门推荐
新林的博客
05-17 1万+
- docker开启2375会存在安全漏洞 暴露了2375端口Docker主机。因为没有任何加密和认证过程,知道了主机IP以后,,任何人都可以管理这台主机上的容器和镜像,以前贪图方便,只开启了没有认证的docker2375端口,后来被黑客通过这个端口上了一个挖矿木马病毒的镜像并运行,所以非测试开发环境的话,还是要开启需要安全认证的tcp端口 - docker开启非认证的端口看这篇文章 https://blog.csdn.net/u012946310/article/details/8231
docker 服务器engin开放2376端口给pycharm连接
weixin_33898233的博客
11-27 240
2019独角兽企业重金招聘Python工程师标准>>> ...
docker配置tls (一) 2376安全配置
lanwp5302的博客
04-17 5179
一、官方资料 官网资料 https://docs.docker.com/engine/reference/commandline/dockerd/ 创建证书步骤 官网Protect the Docker daemon socket https://docs.docker.com/engine/security/https/ 二、创建证书 生成的证书 ca-key.pem ca.pem ...
centos7 docker开启认证的远程端口2376配置
J_Lee
11-24 1169
centos7 docker开启认证的远程端口2376配置
Docker开放远程安全访问(开启2376端口和CA认证)
guochengabcd的博客
08-11 1127
Docker开放远程安全访问(开启2376端口和CA认证)
docker 2376端口 CA 认证,并不能阻止服务器成为肉鸡
a01021111230的博客
09-10 616
看网上很多评论;自签CA证书,生成服务器CA签名证书,和客户端CA签名证书;docker服务端配置客户端,允许docker远程控制的客户端,配置客户端CA;只有该客户端CA签名证书才能远程控制docker;其实不对的。 docker的服务端CA,和客户端CA,只是完成了双方的信息双向加密。docker并没有进行双方身份的认证,所以2376端口是不安全的。 可以使用两套CA证书机构,分别签服务端CA证书,和客户端证书,验证,本人已验证,直接说结论: 客户端随便一个CA证书签名的客户端CA证书都可
Docekr 建立 Tls 证书安全连接(idea测试)
Is210416的博客
03-11 285
该博客目的是在服务器端docker生成并开启Tls证书加密连接,并使用本地idea测试远程安全连接
docker daemon的HTTP socket TLS加密连接
weixin_34130389的博客
05-27 199
2019独角兽企业重金招聘Python工程师标准>>> ...
docker 设置TLS远程访问
weixin_33774308的博客
11-12 385
2019独角兽企业重金招聘Python工程师标准>>> ...
DockerTLS配置文档
08-12
以下是DockerTLS配置文档: 1. 首先,确保您已经安装了Docker。如果没有安装,请参考Docker官方文档进行安装。 2. 生成TLS证书和密钥: - 创建一个用于存储证书和密钥的目录,例如 `/etc/docker/certs.d`。 - ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值