Docker 安全 Docker HTTPS请求过程与配置

已于 2023-07-27 12:17:00 修改
阅读量2k 收藏 2
点赞数
文章标签: docker 安全 https 容器 运维 linux 云计算
于 2023-07-27 12:11:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62344659/article/details/131956115
版权
文章详细讨论了Docker容器的安全注意事项,包括避免使用特权模式和主机网络模式,不运行SSH服务,以及采取最佳实践如使用最小镜像和限制容器权限。同时,重点介绍了HTTPS的请求过程和证书验证,强调了证书在安全通信中的重要性,并提供了如何获取和创建SSL证书的方法,包括使用云服务商和本地openssl工具。
摘要由CSDN通过智能技术生成

Docker 容器安全注意点 

尽量别做的事

尽量不用 --privileged 运行容器(授权容器root用户拥有宿主机的root权限)
尽量不用 --network host 运行容器(使用 host 网络模式共享宿主机的网络命名空间)
尽量不在容器中运行 ssh 服务

尽量要做的事

尽量使用最小化的镜像
尽量以单一进程运行容器
尽量使用最新版本的应用做镜像主进程
尽量使用最新版本的docker
尽量以最低权限运行容器
尽量下载使用官方的镜像或自己构建镜像从私有仓库下载镜像
尽量使用只读的方式挂载数据卷 -v 宿主机目录:容器目录:ro
尽量设置容器重启次数 --restart on-failure:N
尽量以资源限制的方式运行容器  -m   --cpu-quota  --device-write-bps

HTTPS请求过程与证书获取

http      超文本传输协议              tcp/80    明文传输
https    安全的超文本传输协议   tcp/443  密文传输    证书加密

HTTPS请求访问过程【重中之重重中之重】

0)服务端会事先通过 CA 签发证书和私钥
1)客户端发送 https 请求到服务端的 443 端口
2)服务端发送包含公钥、证书有效期及 CA 机构等信息的证书给客户端
3)客户端会先通过 CA 验证证书的有效性
4)若证书有效,客户端会在本地随机生成会话密码并通过服务端发来的公钥加密后返回给服务端
5)服务器用私钥解密获取会话密钥,之后双方即可使用会话密钥加密/解密来实现密文通信

如何获取 ssl 证书?【重要】

云服务商免费申请 或是本地openssl等生成

 

  1. 在 阿里云、腾讯云、华为云 等云服务商 申请一年前的免费证书
    1. 免费申请SSL证书及部署就是这么简单
    2. 阿里云服务器Nginx配置SSL证书,实现HTTPS访问
  2. 在服务器本地使用 openssl、mkcert、cfssl、certbot(Let's Encrypt)等工具 生成 SSL 证书
    1. 一文搞定SSL证书的所有创建问题
    2. 如何免费申请 SSL 证书

                ssl/tls 加密 通常代表 证书认证加密

服务器本地 openssl 创建证书

ca 证书和私钥  ->  服务器/客户端证书 和 私钥

yum install -y openssl

1)创建 CA 私钥和证书

openssl genrsa -out ca.key 2048                             #生成 ca 私钥 私钥长度2048、4096 只要是1024倍数
#genrsa:使用RSA算法产生私钥
#-aes256:使用256位密钥的AES算法对私钥进行加密,这样每次使用私钥文件都将输入密码,可省略
#-out:输出文件的路径,若未指定输出文件,则为标准输出
#4096:指定私钥长度,默认为1024。该项必须为命令行的最后一项参数

openssl req -new -key ca.key -out ca.csr                    #生成 ca 证书自签名请求文件

openssl x509 -req -days 3650 -in ca.csr -signkey ca.key -out ca.pem    #生成 ca 证书
#req:执行证书签发命令
#-new:新证书签发请求
#-x509:生成x509格式证书,专用于创建私有CA时使用
#-days:证书的有效时长,单位是天
#-key:指定私钥路径
#-sha256:证书摘要采用sha256算法
#-subj:证书相关的用户信息(subject的缩写)
#-out:输出文件的路径


2)创建服务端自签名请求文件

openssl genrsa -out server.key 2048
openssl req -new -key server.key -out server.csr


3)使用CA签发服务端证书(需要签名请求文件,ca 证书,ca 密钥)

openssl x509 -req -days 3650 -in server.csr -signkey ca.key -out server.pem

x509:生成x509格式证书
-req:输入csr文件
-in:要输入的csr文件
-CA:指定ca证书的路径
-CAkey:指定ca证书的私钥路径
-CAcreateserial:表示创建证书序列号文件,创建的序列号文件默认名称为ca.srl

完成CA证书 server证书创建后,客户端就可以进行认证【双向认证还需要按照server证书生成方式再生成client证书传送给client端,并且将ca.pam(ca证书)一并传送给客户端,客户端据此判断server.pam的有效性。】

另外对于不同的服务,还需要按照官方文档说明修改相应的配置,使其能够使用https协议并且正确使用了证书。


 


 

低温热源
关注
Docker 搭建本地 https 环境
m69zhuang的博客
09-09 1995
来测试您的应用程序。请注意,由于使用的是自签名证书,您可能会收到浏览器的安全警告。首先,生成自签名的 SSL 证书和私钥。可以使用 OpenSSL 命令来生成。现在,您的本地 Docker 环境已经搭建好了 HTTPS。文件相同的目录创建一个名为。这个命令将会生成一个私钥文件。
Docker Harbor 安装与https配置
cxzchen的博客
08-26 1037
Docker Harbor 安装与https配置 docker harbor安装https配置 文章目录Docker Harbor 安装与https配置前言一、Docker H是什么?二、使用步骤1.安装docker2.安装Docker Compose3.安装Docker Harbor3.配置https总结 前言 私有的镜像仓库搭建,docker harbor有可视化界面,对接不用重启docker 提示:以下是本篇文章正文内容,下面案例可供参考 一、Docker H是什么? Harbor是一个用于存储
docker容器实现https访问
MCB134的博客
05-12 1075
【云原生】docker容器实现https访问_docker ssl访问-CSDN博客①key 私钥 = 明文--自己生成(genrsa )②csr 公钥 = 由私钥生成③crt 证书 = 公钥 + 签名(自签名或者由CA签名)④证书:server.crt文件就是证书⑤签名:使用私钥key与公钥csr进行证书server.crt生成的过程称为签名。
【云原生】docker容器实现https访问
liu_xueyin的博客
01-31 2682
【代码】【云原生】docker容器实现https访问。
Docker 配置 https
尔等同学的博客
01-29 904
nginx 配置 https ,因为直接在虚拟机上配置可能会污染虚拟机环境,不利于随时调整,所以选用docker配置nginx 及 https
docker安装nginx并配置https
最新发布
wangqiaowq的博客
07-12 803
参考。
Docker启用TLS实现安全配置的步骤
09-29
Docker启用TLS(Transport Layer Security)是保护Docker守护进程套接字安全的重要步骤,它为Docker远程API提供加密和身份验证,防止未授权访问和数据泄露。TLS是一种广泛使用的网络安全协议,用于确保网络通信的...
docker安装nginx并配置通过https访问的方法
09-30
主要介绍了docker安装nginx并配置通过https访问的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
docker 安装 wordpress,通过nginx反向代理,绑定域名,配置https
06-15
Docker 安装 WordPress,通过 Nginx 反向代理,绑定域名,配置 HTTPS 在本文,我们将详细介绍如何使用 Docker 安装 WordPress,并通过 Nginx 反向代理,绑定域名,配置 HTTPS。 首先,我们需要安装 Docker,若您...
Docker私服配置HTTPS
一枚野生程序员 —— Tim
03-21 1164
上图即使我搭建完毕的效果。对于Docker的环境安装,基础命令之类的内容,通读官网文档内容基本都能顺利掌握。 然而,当笔者尝试着搭建一套基于SSL的Docker Registry(官网推荐的做法)却遇到了不少的麻烦,对于这部分内容,大多数博客文档内容都是直接跳过了SSL的环节,采用了HTTP的访问形式。 然而本文就是记录一下对于搭建HTTPS 访问形式的Docker Reg...
docker部署https
热门推荐
python_web全栈
04-02 1万+
1 生成挂载的目录 生成配置文件挂载的目录 生成证书挂载的目录 mkdir /opt/docker/nginx/conf.d -p mkdir /opt/docker/nginx/cert -p 2 上传证书到cert目录 2.1 获取证书(阿里云) 进入阿里云控制台 点击SSL证书安装 点击左侧菜单栏,SSL 点击免费证书申请(个人版有20个免费) 申请之后,点击创建, 然后再次申请 根据提示填写,域名最好填写,你买的一级域名 下载nginx版本的证书 解压上传到,先前创建好的
docker里部署https
klkxxy的博客
10-04 2395
首先,申请免费证书,这个就不说了。 然后,将你要申请的域名,在云解析里,弄一个记录类型A 然后,才继续 Nginx安装 下载nginx1.10的docker镜像: docker pull nginx:1.10 从容器拷贝nginx配置 先运行一次容器(为了拷贝配置文件): docker run -p 7009:80 --name nginx \ -v /mydata/nginx/html:/usr/share/nginx/html \ -v /mydata/ngin.
docker配置域名https
qq_40923390的博客
03-13 1036
购买下载证书网上教程一大把,这里不多叙述 下载好证书后,上传到服务器,本次演示放在了端口配置上级目录 然后配置端口配置ssl_certificate和ssl_certificate_key的值,别忘了listen 443 ssl; 重启nginx pkill -9 nginx nginx 访问https://你的域名 ...
根据docker部署nginx并且实现https
zzzxxx520369的博客
05-05 2897
Web网站的登录页面都是使用https加密传输的,加密数据以保障数据的安全HTTPS能够加密信息,以免敏感信息被第三方获取,所以很多银行网站或电子邮箱等等安全级别较高的服务都会采用HTTPS协议,HTTPS其实是有两部分组成:HTTP + SSL / TLS,也就是在HTTP上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过TLS进行加密,所以传输的数据都是加密后的数据。
nginx---docker环境下配置https
池海
05-14 494
文章目录前言一、将ssl绑定到域名下并认证二、下载证书并上传至服务器三、修改配置文件 前言 本次演示环境基于之前配置docker环境下的nginx,服务器为腾讯云其它如阿里,华为基本都一样大同小异。 一、将ssl绑定到域名下并认证 下面我们拿领取的一年免费ssl证书为例 点击进去后绑定我们的域名进行签,这里因为当时操作时候忘了截图所以没有实际对应图片。傻瓜式按照提示来就可以,绑定域名后会提示我们进行验证。可选择方案有两种一种添加解析记录,一种采取像微信小程序那样将指定文件放置于服务器下的方式。这里
docker安装nginx支持ssl 实现https访问(完整版)
pingzhuyan的博客
05-04 4224
> docker实用(安装/操作)专栏传送门 linux普通方式安装nginx并支持ssl
docker - 设置HTTP/HTTPS 代理
weixin_30627381的博客
08-07 425
背景 将docker的服务器环境切换到新的网络之后,由于服务器的internet是受限制的(需要连接配置远程代理,不能直接上网)。因此,在使用docker连接docker hub 的时候,就会出错: 错误细节如下: [root@CNCGTCFS76 system]# docker login Login with your Docker ID to push and pull imag...
如何在docker配置asp.net core https协议
weixin_33943347的博客
07-07 722
本文参考自《Step by step: Expose ASP.NET Core over HTTPS with Docker》   自从微软布.net core以来,就在许多社区掀起了讨论,笔者也是在工作开始学习.net core/asp.net core的。说实话,在学习开asp.net core,笔者遇到了非常多的问题,踩了许多坑,比如.net core1.1版本没有提供syste...
Docker部署Nginx并配置HTTPS以访问Node应用
Docker环境安装并配置Nginx以支持HTTPS的教程主要涉及以下几个关键步骤: 1. 安装Nginx: 首先,...这个教程教你如何在Docker部署一个安全的Nginx服务器,使其与Node.js应用配合,通过HTTPS提供可靠的服务访问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值