【Docker】TLS 认证

已于 2023-07-05 17:21:02 修改
阅读量648 收藏 3
点赞数 3
分类专栏: # 后端 文档整理 开发问题 文章标签: docker 容器
于 2023-07-05 17:19:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tabingbuxiaode/article/details/131559260
版权

前言

本就是内网测试服务器,最近电网领导要来了,服务器突然搞审查,要求修复docker 2375 端口缺陷。

为了继续使用插件,使用TLS证书修复该问题。

TLS

TLS(Transport Layer Security)是一种加密协议,用于在计算机网络上提供安全通信。它的前身是SSL(Secure Sockets Layer)协议,后来逐渐发展成为TLS。

主要目标是确保通信的机密性和完整性,以及对通信双方进行身份验证。它使用加密算法对传输的数据进行加密,防止数据在传输过程中被窃取或篡改。同时,TLS 也提供了数字证书来验证通信双方的身份,以防止中间人攻击和欺骗。

TLS 在很多应用中被广泛使用,特别是在保护敏感信息(如用户名、密码、支付信息等)的互联网通信中。常见的应用包括安全网页浏览(HTTPS)、电子邮件传输(SMTPS、IMAPS、POP3S)、虚拟私有网络(VPN)等。

通过使用 TLS,通信双方可以建立一个安全的通信通道,保护数据的隐私和完整性,并确保双方的身份。

脚本

请自己酌情修改!

创建文件,复制粘贴,保存,赋予脚本权限,执行即可。

#!/bin/bash
# docker_tls.sh
# 环境:CentOS 7.9

set -e

########## 配置信息 ##########

PORT=2376
SERVER_CERTS_DIR="/etc/docker/secret/server_tls"    # 服务器密钥存放目录
CLIENT_CERTS_DIR="/etc/docker/secret/client_tls"    # 客户端密钥存放目录
CA_CERTS_FILE="/etc/docker/secret/ca.pem"           # CA 证书文件路径
COUNTRY="CN"
STATE="Shanghai"
CITY="Shanghai"
ORGANIZATION="Elven"
ORGANIZATIONAL_UNIT="Dev"
COMMON_NAME=$(hostname)
EMAIL="admin@example.com"
PASSWORD="MijsfR"

########## 生成证书 ##########

echo "Generating Docker TLS certificates..."

# 创建目录并设置权限
mkdir -p "$SERVER_CERTS_DIR"
mkdir -p "$CLIENT_CERTS_DIR"
chmod 700 "$SERVER_CERTS_DIR" "$CLIENT_CERTS_DIR"

# 生成 CA 证书和私钥
if [[ ! -f "$CA_CERTS_FILE" ]]; then
    openssl genrsa -aes256 -passout "pass:$PASSWORD" -out "$SERVER_CERTS_DIR/ca-key.pem" 4096
    openssl req -new -x509 -days 3650 -key "$SERVER_CERTS_DIR/ca-key.pem" -sha256 -out "$CA_CERTS_FILE" \
        -passin "pass:$PASSWORD" -subj "/C=$COUNTRY/ST=$STATE/L=$CITY/O=$ORGANIZATION/OU=$ORGANIZATIONAL_UNIT/CN=ca/emailAddress=$EMAIL"
    chmod 0444 "$CA_CERTS_FILE"
fi

# 生成服务器证书和私钥
openssl genrsa -out "$SERVER_CERTS_DIR/server-key.pem" 4096
openssl req -subj "/CN=$COMMON_NAME" -sha256 -new -key "$SERVER_CERTS_DIR/server-key.pem" -out "$SERVER_CERTS_DIR/server.csr"
echo subjectAltName = IP:$(hostname -I | awk '{print $1}') > "$SERVER_CERTS_DIR/extfile.cnf"
echo extendedKeyUsage = serverAuth >> "$SERVER_CERTS_DIR/extfile.cnf"
openssl x509 -req -days 3650 -sha256 -in "$SERVER_CERTS_DIR/server.csr" -passin "pass:$PASSWORD" \
  -CA "$CA_CERTS_FILE" -CAkey "$SERVER_CERTS_DIR/ca-key.pem" -CAcreateserial -out "$SERVER_CERTS_DIR/server-cert.pem" -extfile "$SERVER_CERTS_DIR/extfile.cnf"

# 设置证书和私钥文件权限
chmod 0400 "$SERVER_CERTS_DIR/server-key.pem"
chmod 0444 "$CA_CERTS_FILE" "$SERVER_CERTS_DIR/server-cert.pem"

# 生成客户端密钥
openssl genrsa -out "$CLIENT_CERTS_DIR/key.pem" 4096
openssl req -subj "/CN=$COMMON_NAME" -sha256 -new -key "$CLIENT_CERTS_DIR/key.pem" -out "$CLIENT_CERTS_DIR/client.csr"
echo extendedKeyUsage = clientAuth > "$CLIENT_CERTS_DIR/extfile.cnf"
openssl x509 -req -days 3650 -sha256 -in "$CLIENT_CERTS_DIR/client.csr" -passin "pass:$PASSWORD" \
  -CA "$CA_CERTS_FILE" -CAkey "$SERVER_CERTS_DIR/ca-key.pem" -CAcreateserial -out "$CLIENT_CERTS_DIR/cert.pem" -extfile "$CLIENT_CERTS_DIR/extfile.cnf"

# 设置客户端证书和私钥文件权限
chmod 0400 "$CLIENT_CERTS_DIR/key.pem"
chmod 0444 "$CA_CERTS_FILE" "$CLIENT_CERTS_DIR/cert.pem"

# 清理临时文件
rm -f "$SERVER_CERTS_DIR/ca-key.pem" "$SERVER_CERTS_DIR/server.csr" "$SERVER_CERTS_DIR/extfile.cnf"
rm -f "$CLIENT_CERTS_DIR/client.csr" "$CLIENT_CERTS_DIR/extfile.cnf"

########## 配置 Docker 守护进程 ##########

echo "Configuring Docker daemon..."

# 备份 Docker 配置文件
DOCKER_SERVICE_FILE="/usr/lib/systemd/system/docker.service"
DOCKER_SERVICE_BACKUP="/usr/lib/systemd/system/docker.service.bak"
cp "$DOCKER_SERVICE_FILE" "$DOCKER_SERVICE_BACKUP"

# 更新 Docker 配置文件
DOCKER_TLS_OPTS=" --tlsverify \
  --tlscacert=$CA_CERTS_FILE \
  --tlscert=$SERVER_CERTS_DIR/server-cert.pem \
  --tlskey=$SERVER_CERTS_DIR/server-key.pem \
  --tlsverify \
  -H fd:// -H 0.0.0.0:$PORT"

sed -i "s|^ExecStart=.*|ExecStart=/usr/bin/dockerd $DOCKER_TLS_OPTS|" "$DOCKER_SERVICE_FILE"

# 重新加载 systemd 配置
systemctl daemon-reload

########## 完成 ##########

echo "Docker TLS certificates and configuration have been generated successfully."

########## 重启Docker ##########

sudo systemctl restart docker

防火墙

  • 开放2376/tcp
    firewall-cmd --zone=public --add-port=2376/tcp --permanent
  • 重新加载防火墙规则以使更改生效
    firewall-cmd --reload
  • 验证端口是否已成功打开
    firewall-cmd --zone=public --list-ports
    应该能够看到端口 2376 在输出中

成果

  • 网页访问在这里插入图片描述
  • 密钥客户端保存
    在这里插入图片描述
  • IDEA 配置
    在这里插入图片描述

小结

  1. Docker TLS 的作用:Docker TLS 用于保护 Docker 守护进程和客户端之间的通信,防止敏感数据在传输过程中被窃取或篡改,以及确保通信双方的身份验证。

  2. 证书和密钥生成:为了启用 Docker TLS,首先需要生成一组证书和密钥。通常包括生成自签名的根证书(CA 证书)、服务器证书和私钥,以及客户端证书和私钥。

  3. CA 证书:根证书(CA 证书)用于签发和验证服务器证书和客户端证书。它是信任的根源,用于验证通信双方的身份。

  4. 服务器证书和私钥:服务器证书和私钥用于验证和加密 Docker 守护进程的通信。服务器证书包含服务器的公钥,并用于客户端验证服务器的身份。

  5. 客户端证书和私钥:客户端证书和私钥用于验证和加密客户端与 Docker 守护进程的通信。客户端证书包含客户端的公钥,并用于服务器验证客户端的身份。

  6. 配置 Docker 守护进程:在 Docker 守护进程的配置文件中,需要指定 TLS 相关的参数,包括 CA 证书、服务器证书、服务器私钥等。这样 Docker 守护进程就能够使用 TLS 进行安全通信。

  7. 客户端使用 TLS:客户端在使用 TLS 连接到 Docker 守护进程时,需要提供自己的证书和私钥,并验证服务器的证书。客户端通过 TLS 连接可以执行 Docker 相关操作,并确保通信的安全性。

  8. 定期更新证书:为了保持安全,证书应该定期更新。过期的证书可能导致连接失败或安全风险。

  9. 防火墙配置:为了使用 Docker TLS,需要确保防火墙允许相应的端口(默认为 2376)进行通信。

通过使用 Docker TLS,可以增加 Docker 环境的安全性,保护敏感数据和通信的机密性。但是,要确保正确配置和管理证书,并采取适当的安全措施,以保护证书和密钥的机密性和完整性。

总在寒冷清秋
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Docker-TLS详解
繁星若渺的博客
03-17 1056
目录一、Docker 存在的安全问题1.1、Docker 自身漏洞1.2、Docker 源码问题1.3、Docker 架构缺陷与安全机制1.3.1、容器之间的局域网攻击1.3.2、DDoS 攻击耗尽资源1.3.3、有漏洞的系统调用1.3.4、共享root用户权限1.4、Docker 安全基线标准1.4.1、内核级别1.4.2、主机级别1.4.3、网络级别1.4.4、镜像级别1.4.5、容器级别1.4.6、其他设置1.5、容器最小化1.6、Docker remote api 访问控制1.6.1、示例1.6.1
DockerTLS认证
qq_27858615的博客
07-28 1454
dockerTLS认证
Docker远程访问安全问题与TLS配置并通过IDEA连接
qq_52726195的博客
05-05 743
保存ca.pem、cert.pem、key.pem、server-cert.pem、server-key.pem这五个文件,将ca.pem、server-cert.pem、server-key.pem保存至服务器自定义位置。将ca.pem、cert.pem、key.pem下载保存到电脑,我保存在了D://Software/Docker/cert下。执行过程中要求输入pass phrase,输入一个自定义的密码即可,比如987654321,需要多次输入,保持一致即可。记得修改path为文件实际所在位置。
Docker开启TLS认证
qq_35156626的博客
12-21 700
修复Docker远程API调用漏洞,启用TLS认证
Docker基础系列之TLS和CA认证
囚徒之困
04-01 1272
Docker TLS和CA认证
docker 生成TLS认证证书
martin_violet的博客
04-14 2216
docker ssl TSL 证书
docker引擎开启TLS双向认证
qq_21442867的博客
07-07 977
文章目录0 环境信息1 创建CA证书1.1 创建CA私钥1.2 生成CA证书2 用ca 证书签发服务端 证书3 为docker引擎部署服务端证书5 用ca 证书签发客户端证书:6 验证 tls 证书7 补充 0 环境信息 docker 引擎服务端 192.168.3.16 docker 客户端 192.168.3.14 docker 版本 19.03.9 1 创建CA证书 1.1 创建CA私钥 可在任意一个可以使用 openssl 命令行工具的操作系统 创建证书相关的文件 创建一个
Docker开启TLS和CA认证
小强崽的博客
08-26 669
前言:Docker直接开启2375端口是不安全的,别人只要连上之后就可以任意操作,下面是开启DockerTLS和CA认证方法,并使用Jenkins和Portainer连接。 一、生成证书 查看服务器主机名 hostname auto-generate-docker-tls-ca.sh # !/bin/bash # 一键生成TLS和CA证书 # Create : 2021-08-25 # Update : 2021-08-25 # @Autor : wuduoqiang # 服务器主机名 SE.
Docker 使用TLS 认证远程访问
weixin_34204722的博客
06-04 536
2019独角兽企业重金招聘Python工程师标准>>> ...
生成docker开启TLS认证所需CA证书的SH脚本分享
Akc_true的博客
04-25 186
生成docker开启TLS认证所需CA证书的脚本
Docker启用TLS实现安全配置的步骤
09-29
Docker启用TLS(Transport Layer Security)是保护Docker守护进程套接字安全的重要步骤,它为Docker远程API提供加密和身份验证,防止未授权访问和数据泄露。TLS是一种广泛使用的网络安全协议,用于确保网络通信的...
docker构建nginx双向认证https服务器
06-18
docker构建nginx双向认证https服务器。 openssl命令生成双向认证自签名证书。 nginx配置https(tls)服务。 浏览器访问服务器需要导入客户端证书到浏览器中。
Ubuntu开机自启配置(基于service:以ROS和docker为例)
最新发布
qq_43326927的博客
07-25 1077
在Ubuntu下,有时候希望能够开机后能够自动运行某些命令,比如ROS小车等,希望能够开机自启动,而不是每次都通过ssh等连接后再运行等命令。这里基于service实现。在Ubuntu中,service是一个用于管理系统服务的命令行工具,它允许用户启动、停止、重启、查看服务状态等操作。随着Ubuntu版本的更新,systemd成为了大多数Ubuntu版本(特别是Ubuntu 15.04及以后版本)的初始化系统和服务管理器,逐渐取代了旧的SysVinit和Upstart系统。
如何将Python应用容器化到Docker
2402_84885073的博客
07-23 430
将Python应用容器化到Docker中是一个常见且有用的做法,它可以帮助你轻松地在不同的环境中部署和运行你的应用,无需担心环境差异带来的问题。
docker略览
whyeahu的博客
07-23 668
使用 Docker Compose 可以将多个 Docker 容器组合成一个应用程序,并定义它们之间的关系和依赖。它使用一个 YAML 文件来配置应用程序的服务、网络和卷等,并使用一条命令启动、停止和管理整个应用程序的容器。使用 Dockerfile,你可以定义所需的基础镜像、安装软件包、复制文件、设置环境变量、运行命令等一系列操作,最终生成一个包含应用程序和其依赖的可运行镜像。在 Docker 中,你可以创建自定义网络,或者使用默认的网络。Docker 网络类型。
Docker搭建仓库(两种方式)
2301_77138117的博客
07-22 649
补充上一篇
maven项目容器化运行之3-优雅的利用Jenkins和maven使用docker插件调用远程docker构建服务并在1Panel中运行
qq_37372909的博客
07-24 915
在《maven项目容器化运行之1》中,我们开启了1Panel环境中docker构建服务给到了局域网。在《maven项目容器化运行之2》中,我们基本实现了maven工程创建、远程调用docker构建镜像、在1Panel选择镜像运行容器三大步骤。 但是,存在一个问题,就是我们本地每次install的时候,都会去构建镜像。期望开发人员在本地开发打包构建时,用于本地测试或者联调,不去构建镜像。而专业测试人员一般是面对测试环境进行测试,这时就需要发布到测试环境,能够快速构建测试人员的测试环境就行。
Docker:如果在windows版本docker上安装本地镜像
刻痕
07-24 209
【代码】Docker:如果在windows版本docker上安装本地镜像。
docker nginx openssl双向认证
08-04
Docker是一个开源的轻量级虚拟化平台,可以帮助用户打包、分发和运行应用程序以及其依赖项,使得应用程序在不同的环境中具备可移植性和一致性。 Nginx是一个高性能的开源HTTP服务器和反向代理服务器,可以用于处理静态和动态内容,支持高并发和负载均衡。 OpenSSL是一个开放源代码的软件库,用于实现安全的套接字层(SSL)和传输层安全(TLS)协议,提供了加密和认证机制,用于保护网络通信的安全性。 双向认证是指在客户端和服务器之间建立安全通信时,双方都需要验证对方的身份。在Docker环境中使用Nginx和OpenSSL实现双向认证可以提高通信的安全性。 首先,需要生成证书和私钥。可以使用OpenSSL生成自签名的证书和私钥,其中私钥用于签署证书,并使用公钥加密通信。 然后,将生成的证书和私钥加载到Docker容器中的Nginx配置文件中。在Nginx配置文件中,需要配置SSL证书和私钥的路径,并启用SSL功能。 接下来,需要配置Nginx的双向认证。在Nginx配置文件中,需要指定客户端验证的方式为ssl_verify_client,并设置为on。这样Nginx会要求客户端提供证书进行认证。 最后,需要在客户端上生成证书和私钥,并将证书加入到操作系统的信任列表中。客户端发起请求时,Nginx会验证客户端提供的证书和私钥。 使用Docker、Nginx和OpenSSL实现双向认证可以确保服务器和客户端之间的通信安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

总在寒冷清秋

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值