前面提到的配置是允许所有人都可以访问的,因为docker默认是root权限的,把2375端口暴露在外面,意味着别人随时都可以提取到你服务器的root权限,很容易被黑客黑,因此,docker官方推荐使用加密的tcp连接,以https的方式与客户端建立连接
https://docs.docker.com/engine/security/protect-access/#create-a-ca-server-and-client-keys-with-openssl
官网文档
Docker认证命令配置
1.创建ca文件夹,存放CA私钥和公钥
mkdir -p /usr/local/ca
cd /usr/local/ca/
2.生成CA私钥和公钥
在Docker守护进程的主机上,生成CA私钥和公钥
openssl genrsa -aes256 -out ca-key.pem 4096
注:上面输入两次密码
3.依次输入密码,国家,省,市,组织名称,邮箱等
openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
现在已经有了CA,接下来创建一个服务器密钥和证书签名请求(CSR),确保公用名与你用来连接到Docker的主机名匹配
4.生成server-key.pem
openssl genrsa -out server-key.pem 4096
5.CA来签署公钥
由于TLS连接可以通过IP地址和DNS名称进行,所以在创建证书时需要指定IP地址,例如,允许使用10.10.10.20和127.0.0.1进行连接: $Host换成你自己服务器外网的IP或者域名
openssl req -subj "/CN=$HOST" -sha256 -new -key server-key.pem -out server.csr
本地局域网:
openssl req-subj "/CN=192.168.10.1" -sha256 -new -key server-key.pem -out server.csr
6.配置白名单
- 1.允许指定ip可以连接到服务器的docker,可以配置ip,用逗号分隔开
- 2.因为已经是ssl连接,所以我推荐配置0.0.0.0,也就是所有ip都可以连接(但只有拥有证书的才可以连接成功),这样配置好之后公司其他人也可以使用
如果填写的ip地址 命令如下 echo subjectAltName=IP:$HOST,IP:0.0.0.0>>extfile.cnf
如果填写的是域名 命令如下 echo subjectAltName=DNS:$HOST,IP:0.0.0.0>>extfile.cnf
7.执行命令
将Docker守护程序密钥的扩展使用属性设置为仅用于服务器身份验证
echo extendeKeyUsage=serverAuth>>extfile.cnf
8.生成签名证书
openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf
9.生产客户端的key.pem
openssl genrsa -out key.pem 4096
openssl req -subj '/CN=client' -new -key key.pem -out client.csr
10.要使密钥适合客户端身份验证
创建扩展配置文件
echo extendeKeyUsage=clientAuth>>extfile.cnf
echo extendeKeyUsage=clientAuth>extfile-client.cnf
11.现在,生成签名证书
openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile-client.cnf
生成cert.pem,需要输入前面设置的密码
12.删除不需要的文件,两个证书签名请求
生成cert.pem和server-cert之后,你可以安全地删除两个证书签名请求和可扩展配置文件
rm -v client.csr server.csr extfile.cnf exfile-client.cnf
待续…