docker openssl

最新推荐文章于 2024-06-04 08:00:34 发布
最新推荐文章于 2024-06-04 08:00:34 发布
阅读量1.7k 收藏 1
点赞数 1
分类专栏: docker linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010324465/article/details/82254439
版权

首先,在Docker守护程序的主机上,生成CA私钥和公钥:

$ openssl genrsa -aes256 -out ca-key.pem 4096
Generating RSA private key, 4096 bit long modulus
............................................................................................................................................................................................++
........++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem:
Verifying - Enter pass phrase for ca-key.pem:

$ openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
Enter pass phrase for ca-key.pem:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:Queensland
Locality Name (eg, city) []:Brisbane
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Docker Inc
Organizational Unit Name (eg, section) []:Sales
Common Name (e.g. server FQDN or YOUR name) []:cloudtop
Email Address []:Sven@home.org.au

现在您已拥有CA,您可以创建服务器密钥和证书签名请求(CSR)。确保“Common Name”与用于连接Docker的主机名匹配:

注意:将$HOST以下示例中的所有实例替换为Docker守护程序主机的DNS名称。

$ openssl genrsa -out server-key.pem 4096
Generating RSA private key, 4096 bit long modulus
.....................................................................++
.................................................................................................++
e is 65537 (0x10001)

$ openssl req -subj "/CN=cloudtop" -sha256 -new -key server-key.pem -out server.csr

接下来,我们将使用我们的CA签署公钥:

由于可以通过IP地址和DNS名称建立TLS连接,因此在创建证书时需要指定IP地址。例如,允许使用10.10.10.20和连接127.0.0.1

$ echo subjectAltName = DNS:cloudtop,IP:当前IP地址,IP:127.0.0.1 >> extfile.cnf

 

将Docker守护程序密钥的扩展使用属性设置为仅用于服务器身份验证:

$ echo extendedKeyUsage = serverAuth >> extfile.cnf

现在,生成签名证书:

$ openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out server-cert.pem -extfile extfile.cnf
Signature ok
subject=/CN=your.host.com
Getting CA Private Key
Enter pass phrase for ca-key.pem:

授权插件提供更细粒度的控制,以补充来自相互TLS的身份验证。除了上述文档中描述的其他信息之外,在Docker守护程序上运行的授权插件还会收到用于连接Docker客户端的证书信息。

对于客户端身份验证,请创建客户端密钥和证书签名请求:

注意:为了简化下一步,您可以在Docker守护程序的主机上执行此步骤。

$ openssl genrsa -out key.pem 4096
Generating RSA private key, 4096 bit long modulus
.........................................................++
................++
e is 65537 (0x10001)

$ openssl req -subj '/CN=client' -new -key key.pem -out client.csr

要使密钥适合客户端身份验证,请创建扩展配置文件:

$ echo extendedKeyUsage = clientAuth >> extfile.cnf

现在,生成签名证书:

$ openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out cert.pem -extfile extfile.cnf
Signature ok
subject=/CN=client
Getting CA Private Key
Enter pass phrase for ca-key.pem:

生成后cert.pemserver-cert.pem您可以安全地删除两个证书签名请求:

$ rm -v client.csr server.csr

默认umask值为022,您的密钥对于您和您的组来说是世界可读和可写的。

要保护您的密钥免受意外损坏,请删除其写入权限。要使它们只能被您读取,请更改文件模式,如下所示:

$ chmod -v 0400 ca-key.pem key.pem server-key.pem

证书可以是世界可读的,但您可能希望删除写访问以防止意外损坏:

$ chmod -v 0444 ca.pem server-cert.pem cert.pem

 添加自定义启动项,并且加载重启

$ sudo mkdir /etc/systemd/system/docker.service.d
$ sudo vim /etc/systemd/system/docker.service.d/http-proxy.conf
[Service]

ExecStart=

ExecStart=/usr/bin/dockerd -H fd:// --tlsverify --tlscacert=/home/cloudtop/software/docker/ca.pem --tlscert=/home/cloudtop/software/docker/server-cert.pem --tlskey=/home/cloudtop/software/docker/server-key.pem -H=0.0.0.0:2376
$ sudo systemctl daemon-reload
$ sudo systemctl restart docker

 
 

小毛毛猪
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker 开启SSL证书加密远程链接
唯爱丨晓翔的博客
02-15 4165
Docker 开启TSL证书加密远程链接1. 使用openssl 制作证书密钥1.1. 在服务器中新建目录/etc/docker,并切换到该目录下1.2. 创建根证书RSA私钥:1.3. 创建CA证书1.4. 创建服务端私钥1.5. 创建服务端签名请求证书文件1.6. 创建签名生效的服务端证书文件1.7. 创建客户端私钥1.8. 创建客户端签名请求证书文件1.9. 创建extfile.cnf的配置...
Docker openssl 创建守护进程
qq_42833774的博客
10-29 283
步骤 1.openssl genrsa -aes256 -out ca-key.pem 4096 2.openssl req -new -x509 -days 3650 -key ca-key.pem -sha256 -out ca.pem 3.openssl genrsa -out server-key.pem 4096 4.openssl req -subj "/CN=$HOST" -sha2...
Docker 翻脸,不再开源
最新发布
emprere的博客
06-04 177
点击关注公众号:互联网架构师,后台回复2T获取2TB学习资源! 上一篇:2T架构师学习资料干货分享 大家好,我是互联网架构师! 前几日,Docker Hub出了一件大事!但凡创建了“organisation”的用户都收到了一封含有简短PDF链接的邮件。邮件的内容“金钱味”十足:如果不按照要求升级付费,用户就将失去对数据的访问权限。此举不仅会破坏开源项目的自动化构建,还为一直依赖于开源的用户带来巨...
开源的密码学工具库:openssl安装在docker容器环境Linux(ubuntu18.04)
源代码杀手的博客
08-18 986
OpenSSL(Open Secure Socket Layer)是一个开源的密码学工具库,它提供了一系列的加密、解密、认证和通信安全相关的功能。OpenSSL 最初是为了支持安全的网络通信而设计的,但后来它的功能逐渐扩展到了许多不同的领域,包括数字证书、密钥管理、安全协议的实现等。
docker容器中安装openssl
EnjoyToShare | 资源分享平台
01-17 9501
1.(可忽略,根据需要)执行更新操作 root@a97f033b8cc0:~# apt-get update 2.查看原有系统是否已安装Openssl root@a97f033b8cc0:~# openssl version -a 3.执行下载openssl操作 root@a97f033b8cc0:~# apt-get install openssl 4.查看Openssl安...
docker nginx openssl https
jian436的专栏
08-13 1085
安全等保,需要https。
Dockerfile中安装和配置OpenSSL
Leon_Jinhai_Sun的博客
03-29 431
Dockerfile中安装和配置OpenSSL
docker-android-openssl:dockerfile在android api 19上构建openssl 1.0.2d
05-09
docker-android-openssl Dockerfile在android api 19上构建openssl 1.0.2d,当前支持以下版本: armv7 x86 ps如何使用它 git clone https://github.com/kkdai/docker-android-openssl.git # build docker image ...
docker构建nginx双向认证https服务器
06-18
docker构建nginx双向认证https服务器。 openssl命令生成双向认证自签名证书。 nginx配置https(tls)服务。 浏览器访问服务器需要导入客户端证书到浏览器中。
Linux docker&Nginx环境安装搭建
03-07
yum -y install make zlib zlib-devel gcc-c++ libtool openssl openssl-devel pcre pcre-devel ``` 然后,我们需要安装 PCRE,以便让 Nginx 支持 Rewrite 功能。我们可以下载 PCRE 安装包,例如 `pcre-8.44.tar.gz`...
Docker启用TLS实现安全配置的步骤
01-10
前言 ...$ openssl genrsa -aes256 -out ca-key.pem 4096 Generating RSA private key, 4096 bit long modulus ..................................................................................
heartbleed-docker:一个 docker 容器来利用 Heartbleed OpenSSL 并保存 cookie
07-10
心血码头 一个 docker 容器来利用 Heartbleed OpenSSL 并保存 cookie 构建和运行 git clone https://github.com/arthurnn/heartbleed-docker.git cd heartbleed-docker docker build -t arthurnn/heartbleed . // change the target url to a vulnerable website docker run -d -p 9099:9099 arthurnn/heartbleed mail.yahoo.com 检查
docker私有仓库搭建教程.docx
12-23
3. 使用 OpenSSL 创建 CA:可以使用 OpenSSL 工具创建 CA 证书和服务器证书。 六、总结 本文介绍了 Docker 私有仓库搭建教程,包括为什么需要私有仓库、Harbor 介绍、Harbor 的主要功能、Harbor 的安装和服务访问...
不重新编译php添加对openssl的支持
bytxl的专栏
11-27 1454
http://www.phpthink.cn/html/331.html 今天使用QQ登录时, 遇到了不能跳转的问题。发现是php不支持openssl.   又不想重新编译php, 网上多方寻找。终于找到解决方案。 记录如下: #下面是php的安装目录  /usr/local/php5/bin/    #切换到php安装目录的 etx/openssl目录  cd /php-5
Docker:3、基于龙晰 (Anolis OS 8.8 )的 openssl更新/升级(升级到 openssl 1.1.1.w)
ftzyj的博客
11-18 2369
本文基于龙晰操作系统(Anolis OS),它是在Docker模式下对 openssl 进行的升级安装。
Docker的TLS认证
qq_27858615的博客
07-28 1439
docker的TLS认证
Docker学习笔记13:docker使用之Compose
胖哥真不错的博客
12-25 772
Compose 简介 Compose 是用于定义和运行多容器 Docker 应用程序的工具。通过 Compose,您可以使用 YML 文件来配置应用程序需要的所有服务。然后,使用一个命令,就可以从 YML 文件配置中创建并启动所有服务。 如果你还不了解 YML 文件配置,可以先阅读YAML 入门教程。 Compose 使用的三个步骤: 使用 Dockerfile 定义应用程序的环境...
Linux相关——Centos7 安装Docker
PettyKoKo
02-28 253
目录 检查系统内核 安装Docker 启动Docker 正文 一、 检查系统内核 Docker 要求 CentOS 系统的内核版本高于 3.10 ,查看本页面的前提条件来验证你的CentOS 版本是否支持 Docker。 通过 uname -r 命令查看你当前的内核版本。 uname -r 二、安装Docker 1.使用 root 权限登录 Centos。确保 yum 包更新...
dockerDockerfile实践
weixin_30894583的博客
11-01 1246
上一篇介绍了Dockerfile中使用的指令,现在开始进行指令实践 先查看下本地的镜像,选一个作为base image: [root@docker ~]# docker images REPOSITORY TAG IMAGE ID CREATED SIZE wadeson/centos...
docker nginx openssl双向认证
08-04
Docker是一个开源的轻量级虚拟化平台,可以帮助用户打包、分发和运行应用程序以及其依赖项,使得应用程序在不同的环境中具备可移植性和一致性。 Nginx是一个高性能的开源HTTP服务器和反向代理服务器,可以用于处理静态和动态内容,支持高并发和负载均衡。 OpenSSL是一个开放源代码的软件库,用于实现安全的套接字层(SSL)和传输层安全(TLS)协议,提供了加密和认证机制,用于保护网络通信的安全性。 双向认证是指在客户端和服务器之间建立安全通信时,双方都需要验证对方的身份。在Docker环境中使用Nginx和OpenSSL实现双向认证可以提高通信的安全性。 首先,需要生成证书和私钥。可以使用OpenSSL生成自签名的证书和私钥,其中私钥用于签署证书,并使用公钥加密通信。 然后,将生成的证书和私钥加载到Docker容器中的Nginx配置文件中。在Nginx配置文件中,需要配置SSL证书和私钥的路径,并启用SSL功能。 接下来,需要配置Nginx的双向认证。在Nginx配置文件中,需要指定客户端验证的方式为ssl_verify_client,并设置为on。这样Nginx会要求客户端提供证书进行认证。 最后,需要在客户端上生成证书和私钥,并将证书加入到操作系统的信任列表中。客户端发起请求时,Nginx会验证客户端提供的证书和私钥。 使用Docker、Nginx和OpenSSL实现双向认证可以确保服务器和客户端之间的通信安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值