Docker学习(十一)-----docker-ca加密认证

最新推荐文章于 2024-08-16 09:42:50 发布
最新推荐文章于 2024-08-16 09:42:50 发布
阅读量786 收藏
点赞数
分类专栏: Docker 文章标签: docker 学习 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44623314/article/details/121926999
版权

前面提到的配置是允许所有人都可以访问的,因为docker默认是root权限的,把2375端口暴露在外面,意味着别人随时都可以提取到你服务器的root权限,很容易被黑客黑,因此,docker官方推荐使用加密的tcp连接,以https的方式与客户端建立连接

https://docs.docker.com/engine/security/protect-access/#create-a-ca-server-and-client-keys-with-openssl官网文档

Docker认证命令配置

1.创建ca文件夹,存放CA私钥和公钥

mkdir -p /usr/local/ca
cd /usr/local/ca/

2.生成CA私钥和公钥

在Docker守护进程的主机上,生成CA私钥和公钥

openssl genrsa -aes256 -out ca-key.pem 4096

在这里插入图片描述注:上面输入两次密码

3.依次输入密码,国家,省,市,组织名称,邮箱等

openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem

现在已经有了CA,接下来创建一个服务器密钥和证书签名请求(CSR),确保公用名与你用来连接到Docker的主机名匹配

4.生成server-key.pem

openssl genrsa -out server-key.pem 4096

在这里插入图片描述

5.CA来签署公钥

由于TLS连接可以通过IP地址和DNS名称进行,所以在创建证书时需要指定IP地址,例如,允许使用10.10.10.20和127.0.0.1进行连接: $Host换成你自己服务器外网的IP或者域名

openssl req -subj "/CN=$HOST" -sha256 -new -key server-key.pem -out server.csr

本地局域网:

openssl req-subj "/CN=192.168.10.1" -sha256 -new -key server-key.pem -out server.csr

6.配置白名单

  • 1.允许指定ip可以连接到服务器的docker,可以配置ip,用逗号分隔开
  • 2.因为已经是ssl连接,所以我推荐配置0.0.0.0,也就是所有ip都可以连接(但只有拥有证书的才可以连接成功),这样配置好之后公司其他人也可以使用
如果填写的ip地址 命令如下 echo subjectAltName=IP:$HOST,IP:0.0.0.0>>extfile.cnf
如果填写的是域名 命令如下 echo subjectAltName=DNS:$HOST,IP:0.0.0.0>>extfile.cnf

7.执行命令

将Docker守护程序密钥的扩展使用属性设置为仅用于服务器身份验证

echo extendeKeyUsage=serverAuth>>extfile.cnf

8.生成签名证书

openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf

9.生产客户端的key.pem

openssl genrsa -out key.pem 4096
openssl req -subj '/CN=client' -new -key key.pem -out client.csr

10.要使密钥适合客户端身份验证

创建扩展配置文件
echo extendeKeyUsage=clientAuth>>extfile.cnf
echo extendeKeyUsage=clientAuth>extfile-client.cnf

11.现在,生成签名证书

openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile-client.cnf

生成cert.pem,需要输入前面设置的密码

12.删除不需要的文件,两个证书签名请求

生成cert.pem和server-cert之后,你可以安全地删除两个证书签名请求和可扩展配置文件
rm -v client.csr server.csr extfile.cnf exfile-client.cnf

待续…

Bruce-li__
关注
专栏目录
docker——tls(ssl)加密通信
Yusheng9527的博客
03-16 1963
docker——tls(ssl)加密通信DockerClient端与DockerDaemon的通信安全(https证书)背景使用证书访问的工作流程部署思路证书创建过程环境准备创建一个存放目录生成ca证书1)创建ca私钥2)创建ca证书用ca证书签发server端证书1)创建服务器私钥2)生成证书签名请求文件(csr文件)3)使用ca证书与私钥证书签发服务端签名证书用ca证证书签发client端证书1)生成客户端私钥2)生成证书签名请求文件3)创建扩展配置文件,使秘钥适合客户端身份验证4)使用ca证书签发客户
docker系列】docker API管理接口增加CA安全认证(1)
2401_83740189的博客
04-12 566
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
你的 Docker 应用是安全的吗?
wangpeng198688的专栏
01-21 967
近一年来,Docker 已经逐渐成为 container 界的事实标准,成为技术人员不可或缺的技能之一,就像 Docker 宣称的那样,「Build,Ship,and Run Any App,Anywhere」,容器极大简化了环境部署的步骤,并且很好的保证了环境的一致性。Docker 的轻量级给云市场也注入了活力,国内已经有厂商发布了基于 Docker有云服务,例如:灵雀云,DaoCloud。
docker镜像私有化部署怎么加密
最新发布
weixin_40808691的博客
08-16 50
我整理的一些关于【Docker】的项目学习资料(附讲解~~)和大家一起分享、学习一下:https://d.51cto.com/xltfovDocker镜像私有化部署加密详解 随着云计算和容器化技术的迅速发展,Docker已成为多人开发和交付应用的重要工具。然而,Docker镜像中可能包含敏感信息,因此在私有化部署时,确保...
Docker使用CA认证
AnblackCat的学习笔记
02-03 2443
在idea中一键部署项目到DockerCA认证 不使用 CA 认证的方法在 这里 本文直接开始介绍使用 CA 认证远程连接 docker,不使用 CA 认证也行,在自己的虚拟机里面可以这么干,但是放到联网的服务器上就不建议这么做了,原因是,你把2375端口暴露在外面,意味着别人随时都可以提取到你服务器的root权限,是很容易被黑客黑的(笔者就是被当成了矿机的一例QwQ)。因此,docker官方...
docker系列】docker API管理接口增加CA安全认证
字母哥博客
06-06 7809
前文中我们曾经介绍过《使用IDEA远程工具》连接Docker REST API,我们会发现一个问题,任何知道Docker 服务器IP、端口的第三方都可以访问这个API,非常的不安全。为了保证Docker API的安全性,我们有必要使用数字证书进行安全验证。...
docker开启CA认证
小羽的博客
10-14 539
docker开启ca认证 mkdir -p /docker/docker_ca cd /docker/docker_ca #输入两次密码 openssl genrsa -aes256 -out ca-key.pem 4096 #输入密码,然后依次输入国家是 CN,省例如是Shanghai、市Shanghai、组织名称、组织单位、姓名或服务器名、邮件地址,都可以随意填写 openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
docker配置ca证书
无bug不人生
07-12 2072
参考 脚本 ca证书生成脚本 #!/bin/bash # ------------------------------------------------------------- # 自动创建 Docker TLS 证书 # ------------------------------------------------------------- # config # --[BEGIN]------------------------------ # 代码,可以随便写 CODE="WRETCHANT"
docker-lets-encrypt-preview
05-31
让我们将演示客户端加密Docker 镜像 (c) 2015 Jens Erat ,麻省理工学院许可证 是一个免费、自动化和开放的证书颁发机构 (CA),为众谋福利。 Let's Encrypt 是 Internet 安全研究小组 (ISRG) 提供的一项服务。 ...
docker安全---Docker-TLS加密通讯
weixin_51725822的博客
04-02 217
docker安全---Docker-TLS加密通讯一、Docker 容器与虚拟机的区别1.隔离与共享2.性能与损耗二、Docker 存在的安全问题1.Docker 自身漏洞2.Docker 源码问题三、Docker 架构缺陷与安全机制四、Docker 安全基线标准1.内核级别2.主机级别3.网络级别4.镜像级别5.容器级别6.其他设置五、容器最小化六、Docker remote api 访问控制七、限制流量流向八、镜像安全九、Docker-TLS加密通讯1、创建ca密钥2、创建ca证书3、创建服务器私钥4、
docker-maven-plugin使用SSL证书自动打包部署镜像到Docker服务器
唯爱丨晓翔的博客
02-25 1355
1. 软件环境 springboot 2.2.1稳定版 jdk 1.8 maven 3.6.2 docker-maven-plugin 0.4.13 2. Docker SSL证书配置 Docker具体设置请移步:Docker开启SSL证书加密远程连接 将以上步骤中下载的ca.pem、cert.pem、key.pem三个文件下载至本地目录中备用 在项目src/main下创建pem目录,将下载...
docker私有仓库: registry工作原理 / 搭建私有仓库/ docker仓库加密 / docker仓库用户认证功能 / 搭建docker-registry-web端
滴水穿石浅谈
08-28 1264
######1.registry工作原理###### 一次docker pull 背后的发生的事情: 下载一个镜像----->在index服务上做认证,查找镜像所在的registry的地址-----> 放回docker客户端----->从registry下载镜像----->去index校验客户端token的合法性 ----->返回registry仓库拉取镜像-...
企业入门实战- - dockerdocker本地仓库加密认证 harbor仓库的搭建
鱼子酱
07-22 322
企业入门实战- - dockerdocker本地仓库加密认证 harbor仓库的搭建一.本地容器仓库加密认证加密认证上传二.harbor仓库的搭建配置由server1向harbor仓库上传资源创建一个新项目证书匹配 一.本地容器仓库加密认证 加密 创建加密认证的密钥 创建目录,保存认证和钥匙 mkdir -p certs openssl req -newkey rsa:4096 -nodes -sha256 -keyout certs/westos.org.key -x509 -days 365 -out
Docker整合CA认证
alai_5186_cdsn的专栏
09-02 290
要保护您的密钥免受意外损坏,请删除其写入权限。编译打包,然后生成镜像,通过镜像上线,能够大大提供上线效。证书可以是对外可读的,删除写入权限以防止意外损坏。率,同时能够快速动态扩容,快速回滚,着实很方便。前面提到的配置是允许所有人都可以访问的,因为。,接下来创建一个服务器密钥和证书签名请求。而在持续集成过程中,项目工程一般使用。名称进行,所以在创建证书时需要指定。传统过程中,打包、部署、等。端口暴露在外面,意味着别人随。权限,是很容易被黑客黑的,因此。用于指定需要复制的根目录,时,会对镜像进行 标签设定。
docker容器加密访问的方法
ling的专栏
01-08 9697
对于宿主主机能够操作docker的账号拥有很大的权限,它可以进入宿主主机的所有容器中,因为容器本身的进出是不能加密的。 这种情况在开发测试中不愿意被看到的,可行的办法就是把编辑代码所用的账号和拥有docker权限的账号分开,然后通过ssh的方式登录测试容器环境。 一、容器安装ssh 进入容器中 1.直接安装ssh apt-get update apt-get install openssh-server 如果安装ssh报如下错误: E: Sub-process /usr/bin/dpkg
Docker Secret加密
恋恋风辰的技术博客
12-22 1854
Docker Secret 在我们启动docker或者service需要指定密码,这种密码我们有时不想被别人知道,所以可以采用docker secret方式管理。 创建secret可以有两种方式,一种通过文件创建,一种通过命令行创建 我们在本地创建一个文件passwd zack1024 接下我们可以通过如下命令创建secret docker secret create my-pw passwd 运行后可以看到屏幕输出如下 qq463dkw4da9s05rwinntmo09 这是一
Docker 安全加密系统
LI_MINGXUAN的博客
03-31 1090
Docker 安全一.Docker 容器与虚拟机的区别二.Docker 存在的安全问题1.Docker 自身漏洞2. Docker 源码问题三.Docker 架构缺陷与安全机制1. 容器之间的局域网攻击2. DDoS 攻击耗尽资源3. 有漏洞的系统调用4. 共享root用户权限四.Docker 安全基线标准1.内核级别2.主机级别3.网络级别4.镜像级别5.容器级别6.其他设置五.Docker remote api 访问控制六.限制流量流向七.镜像安全八.Docker-TLS加密通讯 一.Docker 容器
Docker(2) 安全加密,habor仓库和Docker网络
weixin_43414025的博客
09-09 1072
文章目录Docker 安全加密使用ssl加密连接 docker registry配置用户认证访问 Docker 安全加密 使用ssl加密连接 docker registry 建立一个 certs 目录 生成自签名证书 [root@server1 certs]# openssl req -newkey rsa:4096 -nodes -sha256 -keyout ./westos.org.key -x509 -days 365 -out ./westos.org.crt Generating a 40
idea集成docker通过CA加密认证
zhangr
09-26 297
创建证书 创建文件夹,这个是存放要生成的证书位置 mkdir -p /usr/local/ca 中间的一些生成过程已经写成shell文件点击下载 提取码:m5e4 把shell文件下载后存放到/usr/local/ca目录下,给shell文件赋权然后执行 chmod +x /usr/local/ca/*.sh ./create_tls_certs.sh 有个坑要注意,如果你在其他文本编辑器里编辑了create_tls_certs.sh,再上传到服务器,可能会出现特殊字符导致执行失败如下图,所..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Bruce-li__

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值