【Docker】TLS 认证

已于 2023-07-05 17:21:02 修改
阅读量647 收藏 3
点赞数 3
分类专栏: # 后端 文档整理 开发问题 文章标签: docker 容器
于 2023-07-05 17:19:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tabingbuxiaode/article/details/131559260
版权

前言

本就是内网测试服务器,最近电网领导要来了,服务器突然搞审查,要求修复docker 2375 端口缺陷。

为了继续使用插件,使用TLS证书修复该问题。

TLS

TLS(Transport Layer Security)是一种加密协议,用于在计算机网络上提供安全通信。它的前身是SSL(Secure Sockets Layer)协议,后来逐渐发展成为TLS。

主要目标是确保通信的机密性和完整性,以及对通信双方进行身份验证。它使用加密算法对传输的数据进行加密,防止数据在传输过程中被窃取或篡改。同时,TLS 也提供了数字证书来验证通信双方的身份,以防止中间人攻击和欺骗。

TLS 在很多应用中被广泛使用,特别是在保护敏感信息(如用户名、密码、支付信息等)的互联网通信中。常见的应用包括安全网页浏览(HTTPS)、电子邮件传输(SMTPS、IMAPS、POP3S)、虚拟私有网络(VPN)等。

通过使用 TLS,通信双方可以建立一个安全的通信通道,保护数据的隐私和完整性,并确保双方的身份。

脚本

请自己酌情修改!

创建文件,复制粘贴,保存,赋予脚本权限,执行即可。

#!/bin/bash
# docker_tls.sh
# 环境:CentOS 7.9

set -e

########## 配置信息 ##########

PORT=2376
SERVER_CERTS_DIR="/etc/docker/secret/server_tls"    # 服务器密钥存放目录
CLIENT_CERTS_DIR="/etc/docker/secret/client_tls"    # 客户端密钥存放目录
CA_CERTS_FILE="/etc/docker/secret/ca.pem"           # CA 证书文件路径
COUNTRY="CN"
STATE="Shanghai"
CITY="Shanghai"
ORGANIZATION="Elven"
ORGANIZATIONAL_UNIT="Dev"
COMMON_NAME=$(hostname)
EMAIL="admin@example.com"
PASSWORD="MijsfR"

########## 生成证书 ##########

echo "Generating Docker TLS certificates..."

# 创建目录并设置权限
mkdir -p "$SERVER_CERTS_DIR"
mkdir -p "$CLIENT_CERTS_DIR"
chmod 700 "$SERVER_CERTS_DIR" "$CLIENT_CERTS_DIR"

# 生成 CA 证书和私钥
if [[ ! -f "$CA_CERTS_FILE" ]]; then
    openssl genrsa -aes256 -passout "pass:$PASSWORD" -out "$SERVER_CERTS_DIR/ca-key.pem" 4096
    openssl req -new -x509 -days 3650 -key "$SERVER_CERTS_DIR/ca-key.pem" -sha256 -out "$CA_CERTS_FILE" \
        -passin "pass:$PASSWORD" -subj "/C=$COUNTRY/ST=$STATE/L=$CITY/O=$ORGANIZATION/OU=$ORGANIZATIONAL_UNIT/CN=ca/emailAddress=$EMAIL"
    chmod 0444 "$CA_CERTS_FILE"
fi

# 生成服务器证书和私钥
openssl genrsa -out "$SERVER_CERTS_DIR/server-key.pem" 4096
openssl req -subj "/CN=$COMMON_NAME" -sha256 -new -key "$SERVER_CERTS_DIR/server-key.pem" -out "$SERVER_CERTS_DIR/server.csr"
echo subjectAltName = IP:$(hostname -I | awk '{print $1}') > "$SERVER_CERTS_DIR/extfile.cnf"
echo extendedKeyUsage = serverAuth >> "$SERVER_CERTS_DIR/extfile.cnf"
openssl x509 -req -days 3650 -sha256 -in "$SERVER_CERTS_DIR/server.csr" -passin "pass:$PASSWORD" \
  -CA "$CA_CERTS_FILE" -CAkey "$SERVER_CERTS_DIR/ca-key.pem" -CAcreateserial -out "$SERVER_CERTS_DIR/server-cert.pem" -extfile "$SERVER_CERTS_DIR/extfile.cnf"

# 设置证书和私钥文件权限
chmod 0400 "$SERVER_CERTS_DIR/server-key.pem"
chmod 0444 "$CA_CERTS_FILE" "$SERVER_CERTS_DIR/server-cert.pem"

# 生成客户端密钥
openssl genrsa -out "$CLIENT_CERTS_DIR/key.pem" 4096
openssl req -subj "/CN=$COMMON_NAME" -sha256 -new -key "$CLIENT_CERTS_DIR/key.pem" -out "$CLIENT_CERTS_DIR/client.csr"
echo extendedKeyUsage = clientAuth > "$CLIENT_CERTS_DIR/extfile.cnf"
openssl x509 -req -days 3650 -sha256 -in "$CLIENT_CERTS_DIR/client.csr" -passin "pass:$PASSWORD" \
  -CA "$CA_CERTS_FILE" -CAkey "$SERVER_CERTS_DIR/ca-key.pem" -CAcreateserial -out "$CLIENT_CERTS_DIR/cert.pem" -extfile "$CLIENT_CERTS_DIR/extfile.cnf"

# 设置客户端证书和私钥文件权限
chmod 0400 "$CLIENT_CERTS_DIR/key.pem"
chmod 0444 "$CA_CERTS_FILE" "$CLIENT_CERTS_DIR/cert.pem"

# 清理临时文件
rm -f "$SERVER_CERTS_DIR/ca-key.pem" "$SERVER_CERTS_DIR/server.csr" "$SERVER_CERTS_DIR/extfile.cnf"
rm -f "$CLIENT_CERTS_DIR/client.csr" "$CLIENT_CERTS_DIR/extfile.cnf"

########## 配置 Docker 守护进程 ##########

echo "Configuring Docker daemon..."

# 备份 Docker 配置文件
DOCKER_SERVICE_FILE="/usr/lib/systemd/system/docker.service"
DOCKER_SERVICE_BACKUP="/usr/lib/systemd/system/docker.service.bak"
cp "$DOCKER_SERVICE_FILE" "$DOCKER_SERVICE_BACKUP"

# 更新 Docker 配置文件
DOCKER_TLS_OPTS=" --tlsverify \
  --tlscacert=$CA_CERTS_FILE \
  --tlscert=$SERVER_CERTS_DIR/server-cert.pem \
  --tlskey=$SERVER_CERTS_DIR/server-key.pem \
  --tlsverify \
  -H fd:// -H 0.0.0.0:$PORT"

sed -i "s|^ExecStart=.*|ExecStart=/usr/bin/dockerd $DOCKER_TLS_OPTS|" "$DOCKER_SERVICE_FILE"

# 重新加载 systemd 配置
systemctl daemon-reload

########## 完成 ##########

echo "Docker TLS certificates and configuration have been generated successfully."

########## 重启Docker ##########

sudo systemctl restart docker

防火墙

  • 开放2376/tcp
    firewall-cmd --zone=public --add-port=2376/tcp --permanent
  • 重新加载防火墙规则以使更改生效
    firewall-cmd --reload
  • 验证端口是否已成功打开
    firewall-cmd --zone=public --list-ports
    应该能够看到端口 2376 在输出中

成果

  • 网页访问在这里插入图片描述
  • 密钥客户端保存
    在这里插入图片描述
  • IDEA 配置
    在这里插入图片描述

小结

  1. Docker TLS 的作用:Docker TLS 用于保护 Docker 守护进程和客户端之间的通信,防止敏感数据在传输过程中被窃取或篡改,以及确保通信双方的身份验证。

  2. 证书和密钥生成:为了启用 Docker TLS,首先需要生成一组证书和密钥。通常包括生成自签名的根证书(CA 证书)、服务器证书和私钥,以及客户端证书和私钥。

  3. CA 证书:根证书(CA 证书)用于签发和验证服务器证书和客户端证书。它是信任的根源,用于验证通信双方的身份。

  4. 服务器证书和私钥:服务器证书和私钥用于验证和加密 Docker 守护进程的通信。服务器证书包含服务器的公钥,并用于客户端验证服务器的身份。

  5. 客户端证书和私钥:客户端证书和私钥用于验证和加密客户端与 Docker 守护进程的通信。客户端证书包含客户端的公钥,并用于服务器验证客户端的身份。

  6. 配置 Docker 守护进程:在 Docker 守护进程的配置文件中,需要指定 TLS 相关的参数,包括 CA 证书、服务器证书、服务器私钥等。这样 Docker 守护进程就能够使用 TLS 进行安全通信。

  7. 客户端使用 TLS:客户端在使用 TLS 连接到 Docker 守护进程时,需要提供自己的证书和私钥,并验证服务器的证书。客户端通过 TLS 连接可以执行 Docker 相关操作,并确保通信的安全性。

  8. 定期更新证书:为了保持安全,证书应该定期更新。过期的证书可能导致连接失败或安全风险。

  9. 防火墙配置:为了使用 Docker TLS,需要确保防火墙允许相应的端口(默认为 2376)进行通信。

通过使用 Docker TLS,可以增加 Docker 环境的安全性,保护敏感数据和通信的机密性。但是,要确保正确配置和管理证书,并采取适当的安全措施,以保护证书和密钥的机密性和完整性。

总在寒冷清秋
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
docker——tls(ssl)加密通信
Yusheng9527的博客
03-16 1886
docker——tls(ssl)加密通信DockerClient端与DockerDaemon的通信安全(https证书)背景使用证书访问的工作流程部署思路证书创建过程环境准备创建一个存放目录生成ca证书1)创建ca私钥2)创建ca证书用ca证书签发server端证书1)创建服务器私钥2)生成证书签名请求文件(csr文件)3)使用ca证书与私钥证书签发服务端签名证书用ca证证书签发client端证书1)生成客户端私钥2)生成证书签名请求文件3)创建扩展配置文件,使秘钥适合客户端身份验证4)使用ca证书签发客户
Docker高级应用之远程TLS管理(安全认证)步骤详细简单易懂
chenchen的博客
12-03 1167
目录一、TLS简介二、Docker 容器与虚拟机的区别三、Docker 存在的安全问题 一、TLS简介 TLS(Transport Layer Security,安全传输层),TLS是建立在传输层TCP协议之上的协议,服务于应用层,它的前身是SSL(Secure Socket Layer,安全套接字层),它实现了将应用层的报文进行加密后再交由TCP进行传输的功能。 TLS协议具备三大特性:保密性(数据都是加密传输,预防第三方嗅探)、数据完整性(基于MAC校验机制)、双向认证支持(避免身份被冒充) 在doc
Docker存在的安全问题,如何解决?
weixin_42449832的博客
03-17 1335
文章目录一、Docker 容器与虚拟机的详细区别二、Docker 存在的安全问题2.1 Docker 自身漏洞2.2 Docker 源码问题三、Docker 架构缺陷与安全机制四、Docker 安全基线标准4.1 内核级别4.2 主机级别4.3 网络级别4.4 镜像级别4.5 容器级别4.6 其他设置五、Docker 远程调用与流量限制5.1 Docker remote api 访问控制5.2 限制流量流向六、容器最小化与镜像安全6.1 容器最小化6.2 镜像安全 一、Docker 容器与虚拟机的详细区别
DockerTLS认证
qq_27858615的博客
07-28 1454
dockerTLS认证
Docker远程访问安全问题与TLS配置并通过IDEA连接
最新发布
qq_52726195的博客
05-05 742
保存ca.pem、cert.pem、key.pem、server-cert.pem、server-key.pem这五个文件,将ca.pem、server-cert.pem、server-key.pem保存至服务器自定义位置。将ca.pem、cert.pem、key.pem下载保存到电脑,我保存在了D://Software/Docker/cert下。执行过程中要求输入pass phrase,输入一个自定义的密码即可,比如987654321,需要多次输入,保持一致即可。记得修改path为文件实际所在位置。
Docker基础系列之TLS和CA认证
囚徒之困
04-01 1271
Docker TLS和CA认证
程序员都在学的docker--docker安全TLS验证(ca证书、服务端证书、客户端证书)
kimowinter的博客
10-09 1539
文章目录一、 Docker-TLS加密通讯1.1 TLS介绍1.2 CA证书证书创建流程二、 TLS加密通讯实操实验目的实验环境实验参数实验过程1. 修改主机的前置环境2. 创建ca证书密钥3. 创建ca证书4. 创建服务端私钥5. 给服务端私钥签名6. 使用ca证书与私钥证书签名7. 生成客户私钥8. 给客户端证书签名9. 创建配置文件10. 创建客户端证书11. 整理证书12. 配置docker13. 传输证书,进行验证 一、 Docker-TLS加密通讯 1.1 TLS介绍 TLS (Transpor
Docker启用TLS实现安全配置的步骤
09-29
Docker启用TLS(Transport Layer Security)是保护Docker守护进程套接字安全的重要步骤,它为Docker远程API提供加密和身份验证,防止未授权访问和数据泄露。TLS是一种广泛使用的网络安全协议,用于确保网络通信的...
docker构建nginx双向认证https服务器
06-18
docker构建nginx双向认证https服务器。 openssl命令生成双向认证自签名证书。 nginx配置https(tls)服务。 浏览器访问服务器需要导入客户端证书到浏览器中。
docker引擎开启TLS双向认证
qq_21442867的博客
07-07 977
文章目录0 环境信息1 创建CA证书1.1 创建CA私钥1.2 生成CA证书2 用ca 证书签发服务端 证书3 为docker引擎部署服务端证书5 用ca 证书签发客户端证书:6 验证 tls 证书7 补充 0 环境信息 docker 引擎服务端 192.168.3.16 docker 客户端 192.168.3.14 docker 版本 19.03.9 1 创建CA证书 1.1 创建CA私钥 可在任意一个可以使用 openssl 命令行工具的操作系统 创建证书相关的文件 创建一个
Docker7】Docker安全及https安全认证
m0_71593537的博客
03-09 1311
Docker安全及https安全认证
Docker私有仓库部署、管理、使用TLS生成证书、基本身份验证及详解内容与操作
SC_CSDN_L的博客
09-21 489
Docker仓库用于保存Docker镜像,分为公有仓库与私有仓库。公有仓库就是Docker Hub一类供所有Docker用户使用的Docker仓库。私有仓库指由个人或企业搭建的Docker仓库,供其自身使用,是非公开的。下面对Docker私有仓库及其相关内容进行详解。
docker仓库(三)仓库的搭建及官方私有仓库的加密认证
cjzcc1996的博客
07-10 530
在生产环境中,有些环境下可能是不被允许连接外网的,所以此时我们就需要搭建一个本地的私有仓库。我们也可以在docker官网创建一个账号,可以把我们本地的镜像上传到官网:Docker Hub 创建账户后,在本机登陆刚刚创建的账号: 用户的登录信息将会保存到用户主目录下 .docker 中,这样就可以保证后面我们不需要频繁的login: 在网页端创建仓库:在本机 先更改tag和仓库信息,然后再push上传: 可以看到在我们刚刚创建的仓库里面已经有我们上传的镜像了:我们也可以登出docker:首先进入aliyun
docker 生成TLS认证证书
martin_violet的博客
04-14 2216
docker ssl TSL 证书
Docker Swarm中使用TLS
gezhonglei2007的专栏
06-12 2798
Swarm集群中的每个节点都安装Docker Daemon,绑定到一个端口上进行通讯,存在很明显的安全隐患。 特别是在不安全的网络环境中,像互联网。Docker Swarm和Docker使用TLS保证访问安全。
Docker 配置 TLS
贝克街的流浪猫
04-03 1034
引言 Docker 默认通过 Unix Socket 对外提供接口,也支持 HTTP 的方式,后者允许我们能够在本地控制远程服务器中的 Docker。如果你想让远程服务器中的 Docker 以安全的方式被访问,可为其配置 TLS,做到服务端和客户端的双向验证。本文由我的同事 @like 投稿,其中总结了他在配置 Docker TLS 过程中的实践经验。 安装 cfssl 这里我们使用 CloudFlare 的 PKI 工具集 cfssl 来创建证书。 安装 cfssl、cfssljson 以及 cfssl
Docker远程接口未授权访问漏洞解决方案之 Docker Remote API TLS 认证
myJavaHe的博客
03-15 2225
Docker远程接口未授权访问漏洞解决方案之 Docker Remote API TLS 认证
Portainer访问远程Docker (TLS加密)
hjc_042043的博客
02-02 661
安全访问远程docker的配置,避免Docker Remote API未授权访问漏洞
docker nginx openssl双向认证
08-04
Docker是一个开源的轻量级虚拟化平台,可以帮助用户打包、分发和运行应用程序以及其依赖项,使得应用程序在不同的环境中具备可移植性和一致性。 Nginx是一个高性能的开源HTTP服务器和反向代理服务器,可以用于处理静态和动态内容,支持高并发和负载均衡。 OpenSSL是一个开放源代码的软件库,用于实现安全的套接字层(SSL)和传输层安全(TLS)协议,提供了加密和认证机制,用于保护网络通信的安全性。 双向认证是指在客户端和服务器之间建立安全通信时,双方都需要验证对方的身份。在Docker环境中使用Nginx和OpenSSL实现双向认证可以提高通信的安全性。 首先,需要生成证书和私钥。可以使用OpenSSL生成自签名的证书和私钥,其中私钥用于签署证书,并使用公钥加密通信。 然后,将生成的证书和私钥加载到Docker容器中的Nginx配置文件中。在Nginx配置文件中,需要配置SSL证书和私钥的路径,并启用SSL功能。 接下来,需要配置Nginx的双向认证。在Nginx配置文件中,需要指定客户端验证的方式为ssl_verify_client,并设置为on。这样Nginx会要求客户端提供证书进行认证。 最后,需要在客户端上生成证书和私钥,并将证书加入到操作系统的信任列表中。客户端发起请求时,Nginx会验证客户端提供的证书和私钥。 使用Docker、Nginx和OpenSSL实现双向认证可以确保服务器和客户端之间的通信安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

总在寒冷清秋

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值