docker基础(21):配置CA证书远程发布项目

已于 2022-04-13 23:47:53 修改
阅读量1.6k 收藏 6
点赞数 2
分类专栏: docker 文章标签: docker
于 2022-03-22 01:11:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011628753/article/details/123642059
版权

如果你没有docker远程发布的经验,建议先查看简单的发布方式
docker基础(15):idea插件远程发布项目

文章目录

概述

生产环境禁止将docker远程发布端口无密钥的暴露到公网,否则分分变成矿机。

#编辑/lib/systemd/system/docker.service
vim /lib/systemd/system/docker.service
#开启远程(不要在公网这么干)
ExecStart=/usr/bin/dockerd -H tcp://0.0.0.0:2375 -H unix://var/run/docker.sock

操作流程

我的服务器ip是106.13.2.249,请注意将ip更改为自己的服务器ip
扩展:获取一个随机密码:https://suijimimashengcheng.bmcx.com/

配置证书&开启远程端口

  1. 编写sh脚本docker_cert.sh
    在这里插入图片描述
    (https://suijimimashengcheng.bmcx.com/)
#!/bin/sh
ip=106.13.2.249
password=R2zkSVRwVuSj8cVp
dir=/root/docker/cert

if [ ! -d "$dir" ];then
echo ""
echo "$dir , not dir , will create"
echo ""
mkdir -p $dir
else
echo ""
echo "$dir , dir exist , will delete and create"
echo ""
rm -rf $dir
mkdir -p $dir
fi
 
cd $dir
# 创建根证书RSA私钥
openssl genrsa -aes256 -passout pass:$password  -out ca-key.pem 4096
# 创建CA证书
openssl req -new -x509 -days 365 -key ca-key.pem -passin pass:$password -sha256 -out ca.pem -subj "/C=NL/ST=./L=./O=./CN=$ip"
# 创建服务端私钥
openssl genrsa -out server-key.pem 4096
# 创建服务端签名请求证书文件
openssl req -subj "/CN=$ip" -sha256 -new -key server-key.pem -out server.csr
 
echo subjectAltName = IP:$ip,IP:0.0.0.0 >> extfile.cnf
 
echo extendedKeyUsage = serverAuth >> extfile.cnf
# 创建签名生效的服务端证书文件 
openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -passin "pass:$password" -CAcreateserial -out server-cert.pem -extfile extfile.cnf
# 创建客户端私钥
openssl genrsa -out key.pem 4096
# 创建客户端签名请求证书文件
openssl req -subj '/CN=client' -new -key key.pem -out client.csr
 
echo extendedKeyUsage = clientAuth >> extfile.cnf
 
echo extendedKeyUsage = clientAuth > extfile-client.cnf
# 创建签名生效的客户端证书文件
openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -passin "pass:$password" -CAcreateserial -out cert.pem -extfile extfile-client.cnf
# 删除多余文件
rm -f -v client.csr server.csr extfile.cnf extfile-client.cnf
 
chmod -v 0400 ca-key.pem key.pem server-key.pem
 
chmod -v 0444 ca.pem server-cert.pem cert.pem
  1. 执行脚本‘
yum install dos2unix
dos2unix docker_cert.sh
sh docker_cert.sh

在这里插入图片描述
3. 配置docker.service
vim /lib/systemd/system/docker.service

#开放端口 
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/root/docker/cert/ca.pem --tlscert=/root/docker/cert/server-cert.pem --tlskey=/root/docker/cert/server-key.pem  -H tcp://0.0.0.0:2376 -H unix://var/run/docker.sock

在这里插入图片描述
在这里插入图片描述

  1. 重启docker
#刷新配置
systemctl daemon-reload
#重启docker
systemctl restart docker

测试

  1. 服务器上调测
docker --tlsverify --tlscacert=/root/docker/cert/ca.pem --tlscert=/root/docker/cert/cert.pem --tlskey=/root/docker/cert/key.pem -H tcp://106.13.2.249:2376 version

在这里插入图片描述

  1. 本地电脑上调测
curl https://106.13.2.249:2376/info --cert /root/docker/cert/cert.pem --key /root/docker/cert/key.pem --cacert /root/docker/cert/ca.pem

在这里插入图片描述

配置idea

  1. 从服务(目录/root/docker/cert)下载证书文件到本地(ca.pem,cert.pem,key.pem)
    在这里插入图片描述
  2. 配置连接
    在这里插入图片描述

到这里你就可以通过证书安全的发布项目,再也不需要担心被拉取挖矿了

遇到的问题

问题1:
Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running?
解决方法:
检查你的docker.service配置是不是错了,或者是否重新启动docker

一路向北North
关注
专栏目录
docker配置ca证书
无bug不人生
07-12 2075
参考 脚本 ca证书生成脚本 #!/bin/bash # ------------------------------------------------------------- # 自动创建 Docker TLS 证书 # ------------------------------------------------------------- # config # --[BEGIN]------------------------------ # 代码,可以随便写 CODE="WRETCHANT"
docker安装ca证书
Lingyonglin_Chen的博客
03-01 393
记录 版权声明:本文为CSDN博主「Young--」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。 原文链接:https://blog.csdn.net/qq_40250122/article/details/98893559
docker服务配置安全证书
最新发布
eif88的博客
07-31 107
【代码】docker服务配置安全证书
Docker】2、配置SSL证书远程访问Docker
Asurplus
05-29 741
配置SSL证书远程访问Docker
jenkins如何配置ca证书访问远程docker
04-25
Jenkins可以通过配置插件和设置环境变量来访问远程Docker配置CA证书。具体步骤如下: 1. 安装DockerDocker pipeline插件。 2. 在Jenkins主机上将CA证书添加到Jenkins的Java KeyStore中。可以使用keytool工具...
Docker配置CA证书远程访问
Oscrazy的博客
01-22 2037
说明 我遇到过一个坑,为了方便远程管理docker,开放了所有IP对2375端口开放,这样是非常危险的,黑客很容易就能通过端口号进入你的容器,并且无需密码就能获取管理员权限,能对docker发送指令 下面开始快速生成CA证书 1.首先再任意目录创建一个脚本文件,比如叫autogen.sh touch autogen.sh vim autogen.sh 编辑内容如下面,根据提示修改[BEGIN]~[END]的内容 IP是必须修改的,其他选改 #!/bin/bash # ------------------
docker开启CA认证
小羽的博客
10-14 542
docker开启ca认证 mkdir -p /docker/docker_ca cd /docker/docker_ca #输入两次密码 openssl genrsa -aes256 -out ca-key.pem 4096 #输入密码,然后依次输入国家是 CN,省例如是Shanghai、市Shanghai、组织名称、组织单位、姓名或服务器名、邮件地址,都可以随意填写 openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
docker容器 安装证书
一路向前的博客
06-20 406
4.运行 cp /usr/local/share/ca-certificates/proxyman_certificate.pem /usr/local/share/ca-certificates/proxyman_certificate.crt。请将C:\path\to\proxyman_certificate.pem替换为证书文件在你本地文件系统中的实际路径。在Windows上打开PowerShell或命令提示符。以root身份进入容器并更新证书存储。
Docker的安全屏障(CA证书
zhuwei的博客
08-04 1159
Docker安全及日志管理前言一、Docker容器和虚拟机的区别性能损耗隔离与共享docker安全问题自身漏洞源码缺陷三、docker 安全缺陷DDOS攻击资源耗尽系统漏洞共享root用户权限局域网攻击四、docker 安全基线标准内核级别主机级别网络级别镜像级别容器级别其他设置五、docker安全配置api远程访问控制限制流量流向创建CA证书 前言 一、Docker容器和虚拟机的区别 性能损耗 与虚拟机相比,容器资源损耗要少。同样的宿主机下,能够建立容器的数量要比虚拟机多。但是,虚拟机的安全性要比容器稍好
「Spring Boot」Docker配置SSL证书(免费证书
泛舟煮酒
12-04 3163
HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比HTTP协议安全。 教程以阿里云为例 备案域名后申请免费证书 购买证书 选择Symantec > 免费型DV SSL 下载证书,以tomcat为例 以「Spring Boot」 推送Docker镜像到阿里云镜像服务项目代码为基础,新建spring-boot-docker-ssl项目 配置appli...
Docker使用CA认证
AnblackCat的学习笔记
02-03 2447
在idea中一键部署项目DockerCA认证 不使用 CA 认证的方法在 这里 本文直接开始介绍使用 CA 认证远程连接 docker,不使用 CA 认证也行,在自己的虚拟机里面可以这么干,但是放到联网的服务器上就不建议这么做了,原因是,你把2375端口暴露在外面,意味着别人随时都可以提取到你服务器的root权限,是很容易被黑客黑的(笔者就是被当成了矿机的一例QwQ)。因此,docker官方...
linux环境docker安装应用/配置证书
SHNotCultrue的博客
11-18 1283
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
Docker部署Gitlab(配置HTTPS证书
Mr_XiMu的博客
05-16 1352
Docker部署Gitlab(配置HTTPS证书
【云原生】Docker 安全与CA证书生成
xnxqwzy的博客
03-26 1205
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
Docker开启远程安全访问教程:从基础CA证书配置
同时强调了直接暴露Docker端口的安全风险,并推荐使用CA证书进行加密通信。" 在Docker中开启远程安全访问是一项重要的操作,尤其对于远程协作和管理容器化的应用程序而言。以下是详细步骤: 1. 编辑Docker服务文件...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值