docker openssl

最新推荐文章于 2024-06-23 16:47:47 发布
最新推荐文章于 2024-06-23 16:47:47 发布
阅读量1.7k 收藏 1
点赞数 1
分类专栏: docker linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010324465/article/details/82254439
版权

首先,在Docker守护程序的主机上,生成CA私钥和公钥:

$ openssl genrsa -aes256 -out ca-key.pem 4096
Generating RSA private key, 4096 bit long modulus
............................................................................................................................................................................................++
........++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem:
Verifying - Enter pass phrase for ca-key.pem:

$ openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
Enter pass phrase for ca-key.pem:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:Queensland
Locality Name (eg, city) []:Brisbane
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Docker Inc
Organizational Unit Name (eg, section) []:Sales
Common Name (e.g. server FQDN or YOUR name) []:cloudtop
Email Address []:Sven@home.org.au

现在您已拥有CA,您可以创建服务器密钥和证书签名请求(CSR)。确保“Common Name”与用于连接Docker的主机名匹配:

注意:将$HOST以下示例中的所有实例替换为Docker守护程序主机的DNS名称。

$ openssl genrsa -out server-key.pem 4096
Generating RSA private key, 4096 bit long modulus
.....................................................................++
.................................................................................................++
e is 65537 (0x10001)

$ openssl req -subj "/CN=cloudtop" -sha256 -new -key server-key.pem -out server.csr

接下来,我们将使用我们的CA签署公钥:

由于可以通过IP地址和DNS名称建立TLS连接,因此在创建证书时需要指定IP地址。例如,允许使用10.10.10.20和连接127.0.0.1

$ echo subjectAltName = DNS:cloudtop,IP:当前IP地址,IP:127.0.0.1 >> extfile.cnf

 

将Docker守护程序密钥的扩展使用属性设置为仅用于服务器身份验证:

$ echo extendedKeyUsage = serverAuth >> extfile.cnf

现在,生成签名证书:

$ openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out server-cert.pem -extfile extfile.cnf
Signature ok
subject=/CN=your.host.com
Getting CA Private Key
Enter pass phrase for ca-key.pem:

授权插件提供更细粒度的控制,以补充来自相互TLS的身份验证。除了上述文档中描述的其他信息之外,在Docker守护程序上运行的授权插件还会收到用于连接Docker客户端的证书信息。

对于客户端身份验证,请创建客户端密钥和证书签名请求:

注意:为了简化下一步,您可以在Docker守护程序的主机上执行此步骤。

$ openssl genrsa -out key.pem 4096
Generating RSA private key, 4096 bit long modulus
.........................................................++
................++
e is 65537 (0x10001)

$ openssl req -subj '/CN=client' -new -key key.pem -out client.csr

要使密钥适合客户端身份验证,请创建扩展配置文件:

$ echo extendedKeyUsage = clientAuth >> extfile.cnf

现在,生成签名证书:

$ openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out cert.pem -extfile extfile.cnf
Signature ok
subject=/CN=client
Getting CA Private Key
Enter pass phrase for ca-key.pem:

生成后cert.pemserver-cert.pem您可以安全地删除两个证书签名请求:

$ rm -v client.csr server.csr

默认umask值为022,您的密钥对于您和您的组来说是世界可读和可写的。

要保护您的密钥免受意外损坏,请删除其写入权限。要使它们只能被您读取,请更改文件模式,如下所示:

$ chmod -v 0400 ca-key.pem key.pem server-key.pem

证书可以是世界可读的,但您可能希望删除写访问以防止意外损坏:

$ chmod -v 0444 ca.pem server-cert.pem cert.pem

 添加自定义启动项,并且加载重启

$ sudo mkdir /etc/systemd/system/docker.service.d
$ sudo vim /etc/systemd/system/docker.service.d/http-proxy.conf
[Service]

ExecStart=

ExecStart=/usr/bin/dockerd -H fd:// --tlsverify --tlscacert=/home/cloudtop/software/docker/ca.pem --tlscert=/home/cloudtop/software/docker/server-cert.pem --tlskey=/home/cloudtop/software/docker/server-key.pem -H=0.0.0.0:2376
$ sudo systemctl daemon-reload
$ sudo systemctl restart docker

 
 

小毛毛猪
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openssl
jinjia649472189的博客
07-01 217
CA(Certificate Authority):颁发数字证书的机构,作为受信任的第三方,承担公钥体系中公钥的合法性校验的责任。CA为每个使用公钥的用户颁发一个数字证书,并且对该证书进行签名。CA自己也拥有一个证书(含公钥),任何人都能得到CA的证书,用来验证CA所签发的证书。 数字签名:用私钥对某个文件/某段消息的散列值进行加密。验证数据的完整性和是否被篡改。 在通信中,双方每次在写完消息之后,计算消息的散列值,并用自己的私钥加密生成数字签名,附在信件后面 ,接收者在收到消息和数字签名之后,先计算散列
Openssl
hzg0226的博客
12-29 218
Openssl Openssl 是一个开源的代码库,包括 SSL 协议库,应用程序和密码算法库,主要适用于 C/C++开发,内置许多加密算法。 安装 Openssl 库 Ubuntu 18.04 内置了 1.1.0 版本的 Openssl,可以使用openssl version查看版本。也可以像其他软件一样更新之,sudo apt install opensll 但是以上的 Openssl 只能用...
docker容器中安装openssl
EnjoyToShare | 资源分享平台
01-17 9546
1.(可忽略,根据需要)执行更新操作 root@a97f033b8cc0:~# apt-get update 2.查看原有系统是否已安装Openssl root@a97f033b8cc0:~# openssl version -a 3.执行下载openssl操作 root@a97f033b8cc0:~# apt-get install openssl 4.查看Openssl安...
Dockerfile中安装和配置OpenSSL
Leon_Jinhai_Sun的博客
03-29 481
Dockerfile中安装和配置OpenSSL
Docker 简介【虚拟化、容器化】
最新发布
蓝天it(让亿万孩子在蓝天下共享优质教育)
06-23 1121
物理机:实际的服务器或者计算机。相对于虚拟机而言的对实体计算机的称呼。物理机提供给虚拟机以硬件环境,有时也称为“寄主”或“宿主”。虚拟化:是指通过虚拟化技术将一台计算机虚拟为多台逻辑计算机。在一台计算机上同时运行多个逻辑计算机,每个逻辑计算机可运行不同的操作系统,并且应用程序都可以在相互独立的空间内运行而互不影响,从而显著提高计算机的工作效率。
开源的密码学工具库:openssl安装在docker容器环境Linux(ubuntu18.04)
源代码杀手的博客
08-18 1008
OpenSSL(Open Secure Socket Layer)是一个开源的密码学工具库,它提供了一系列的加密、解密、认证和通信安全相关的功能。OpenSSL 最初是为了支持安全的网络通信而设计的,但后来它的功能逐渐扩展到了许多不同的领域,包括数字证书、密钥管理、安全协议的实现等。
Docker:3、基于龙晰 (Anolis OS 8.8 )的 openssl更新/升级(升级到 openssl 1.1.1.w)
ftzyj的博客
11-18 2683
本文基于龙晰操作系统(Anolis OS),它是在Docker模式下对 openssl 进行的升级安装。
以HTTPS的方式运行docker
wenwenxiong的专栏
11-30 6350
以HTTPS的方式运行docker保护Docker daemon socket默认情况下,Docker以一种无网络的Unix socket方式运行。也可以通过选项设置使用HTTPsocket。如果需要通过网络以一种安全的方式访问Docker,可以通过tlsverify标签来允许TLS,使用tlscacert标签指定可信的CA证书。在后台守护模式中,仅运行通过CA签名的证书的客户端连接访问。在客户端模
docker-android-openssl:dockerfile在android api 19上构建openssl 1.0.2d
05-09
docker-android-openssl Dockerfile在android api 19上构建openssl 1.0.2d,当前支持以下版本: armv7 x86 ps如何使用它 git clone https://github.com/kkdai/docker-android-openssl.git # build docker image ...
GBase 8a docker中安装配置Jenkins服务
04-24
apt-get -y install make* zlib* openssl libssl-dev apt-get install sudo cd /var/jenkins_home mkdir python3 cd python3 wget https://www.python.org/ftp/python/3.6.8/Python-3.6.8.tgz tar -xvf Python-3.6.8...
docker构建nginx双向认证https服务器
06-18
docker构建nginx双向认证https服务器。 openssl命令生成双向认证自签名证书。 nginx配置https(tls)服务。 浏览器访问服务器需要导入客户端证书到浏览器中。
heartbleed-docker:一个 docker 容器来利用 Heartbleed OpenSSL 并保存 cookie
07-10
心血码头 一个 docker 容器来利用 Heartbleed OpenSSL 并保存 cookie 构建和运行 git clone https://github.com/arthurnn/heartbleed-docker.git cd heartbleed-docker docker build -t arthurnn/heartbleed . // change the target url to a vulnerable website docker run -d -p 9099:9099 arthurnn/heartbleed mail.yahoo.com 检查
Linux docker&Nginx环境安装搭建
03-07
yum -y install make zlib zlib-devel gcc-c++ libtool openssl openssl-devel pcre pcre-devel ``` 然后,我们需要安装 PCRE,以便让 Nginx 支持 Rewrite 功能。我们可以下载 PCRE 安装包,例如 `pcre-8.44.tar.gz`...
Docker启用TLS实现安全配置的步骤
01-10
前言 ...$ openssl genrsa -aes256 -out ca-key.pem 4096 Generating RSA private key, 4096 bit long modulus ..................................................................................
dockerDockerfile实践
牧竹子
06-12 1196
dockerfile入门完整样例和实例
Docker的TLS认证
qq_27858615的博客
07-28 1454
docker的TLS认证
Docker学习笔记13:docker使用之Compose
胖哥真不错的博客
12-25 783
Compose 简介 Compose 是用于定义和运行多容器 Docker 应用程序的工具。通过 Compose,您可以使用 YML 文件来配置应用程序需要的所有服务。然后,使用一个命令,就可以从 YML 文件配置中创建并启动所有服务。 如果你还不了解 YML 文件配置,可以先阅读YAML 入门教程。 Compose 使用的三个步骤: 使用 Dockerfile 定义应用程序的环境...
docker生成ssl证书(按步骤来即可,真实可用)
guochengabcd的博客
09-06 2188
docker生成证书
Linux相关——Centos7 安装Docker
PettyKoKo
02-28 256
目录 检查系统内核 安装Docker 启动Docker 正文 一、 检查系统内核 Docker 要求 CentOS 系统的内核版本高于 3.10 ,查看本页面的前提条件来验证你的CentOS 版本是否支持 Docker。 通过 uname -r 命令查看你当前的内核版本。 uname -r 二、安装Docker 1.使用 root 权限登录 Centos。确保 yum 包更新...
docker nginx openssl双向认证
08-04
Docker环境中使用Nginx和OpenSSL实现双向认证可以提高通信的安全性。 首先,需要生成证书和私钥。可以使用OpenSSL生成自签名的证书和私钥,其中私钥用于签署证书,并使用公钥加密通信。 然后,将生成的证书和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值