Redis 6.0 Docker容器使用TLS加密

已于 2023-03-20 17:23:21 修改
阅读量1.3k 收藏 2
点赞数 1
分类专栏: Redis 安全 文章标签: docker redis ssl tls redis6.0 Powered by 金山文档
于 2023-03-18 22:23:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012134942/article/details/129637095
版权

前言

最近,公司在做渗透测试,要求redis使用加密传输。经过比较redis各版本,发现redis6.0开始正式支持TLS 通道加密,更加安全。redis6.0以下版本只支持数据加密,最新版本为redis7.0。考虑到redis7.0刚出不久,新的功能项目也暂时用不上。故此决定选用redis6.2.11(6.0的最新稳定版)。

先决条件

  • 安装了 Docker。

  • Docker Compose 已安装。

Redis 容器镜像获取

访问docker官网:

https://hub.docker.com/_/redis/tags?page=2

点击Tags:

找到我们想要的版本,获取下载命令:docker pull redis:6.2.11

在服务器上分别运行:

docker pull redis:6.2.11   
docker images

看到上图结果,说明redis 容器镜像下载成功。

注:redis官网上会看到 make BUILD_TLS=yes ,需要修改配置,重新编译才支持TLS,默认是不支持的。这个是针对平常的安装包,docker 容器版是默认开启支持TLS的,不需要重新编译。

运行Redis容器

让我们先在没有 TLS 的情况下运行 Redis 容器

创建一个文件compose.yml并粘贴下面的内容。

services:
 redis:
  image: redis:6.2.11
  network_mode: "host"
  volumes: 
   #/home/10config/redis/redis.conf 是宿主机路径,必须存在
   #/usr/local/etc/redis/redis.conf 是redis容器路径
   - /home/10config/redis/redis.conf:/usr/local/etc/redis/redis.conf  
  restart: always
  container_name: legrand_redis6.2.11_v1
  privileged: true
  command: redis-server /usr/local/etc/redis/redis.conf

redis.conf 可以在redis的安装包获取。

redis.conf 百度网盘下载路径 提取码:ju3h

运行容器:

docker-compose up -d    #启动容器
docker exec -it legrand_redis6.2.11_v1 /bin/bash  #进入容器

运行docker exec -it legrand_redis6.2.11_v1 /bin/bash,出现如下图,说明容器运行成功。

生成证书

为了使用 TLS 运行 Redis,我们需要提供自己的 SSL 证书。您可以购买一个,或者对于这个我们不需要购买的用例,但为我们的 Redis 实例和连接到它的客户端生成我们自己的自签名证书。

运行脚本

#!/bin/sh
mkdir -p tests/tls

openssl genrsa -out tests/tls/ca.key 2048
openssl req \
    -x509 -new -nodes -sha256 \
    -key tests/tls/ca.key \
    -days 36500 \
    -subj '/O=Redis Test/CN=Certificate Authority' \
    -out tests/tls/ca.crt

openssl genrsa -out tests/tls/redis.key 2048

openssl req \
    -new -sha256 \
    -key tests/tls/redis.key \
    -subj '/O=Redis Test/CN=Server' | \
    openssl x509 \
        -req -sha256 \
        -CA tests/tls/ca.crt \
        -CAkey tests/tls/ca.key \
        -CAserial tests/tls/ca.txt \
        -CAcreateserial \
        -days 36500 \
        -out tests/tls/redis.crt

openssl dhparam -out tests/tls/redis.dh 2048

注意:证书默认有效期为1年 ,-days 可以设置证书有效期 ,单位天

得到以下文件:

其中:

ca.crt : CA根证书,用于验证证书是否合法

ca.key: CA根证书私钥

redis.crt: ca.crt根证书签发的证书

redis.key:ca.crt根证书签发的证书私钥

配置TLS

services:
 redis:
  image: redis:6.2.11
  network_mode: "host"  #和宿主机共用网卡
  volumes: 
   #/home/10config/redis/redis.conf 是宿主机路径,必须存在
   #/usr/local/etc/redis/redis.conf 是redis容器路径
   - /home/10config/redis/redis.conf:/usr/local/etc/redis/redis.conf 
   #挂载到宿主机的证书路径,使容器能访问到证书 
   - /home/3redis/tests/tls:/tls
  restart: always
  container_name: legrand_redis6.2.11_v1
  #使用该参数,container内的root拥有真正的root权限。
  #否则,container内的root只是外部的一个普通用户权限。
  privileged: true
  command: redis-server /usr/local/etc/redis/redis.conf

redis.conf 增加以下配置

# Accept connections on the specified port, default is 6379.
# If port 0 is specified Redis will not listen on a TCP socket.
port 0  #关闭非tls端口
tls-port 6379

################################## TLS 配置 ###################################
tls-cert-file /tls/redis.crt  #用于指定redis服务端证书文件
tls-key-file /tls/redis.key   #用于指定redis服务端私钥文件
#上述二者都是服务端的,用于客户端使用CA根证书去验证服务端。
tls-ca-cert-file /tls/ca.crt  #CA根证书,用于服务端验证客户端
#设置密钥交换协议文件
#迪菲-赫尔曼密钥交换(英语:Diffie–Hellman key exchange,缩写为DH)
#使用DH后TLS握手中的第三个随机数不在网络上传输(原来是加密传输),加强了安全性。
tls-dh-params-file /tls/redis.dh  
tls-auth-clients yes    # yes 开启双向认证

启动TLS容器

docker-compose up -d  #启动容器
docker exec -it legrand_redis6.2.11_v1 /bin/bash  #进入容器
# 以tls方式连接redis客户端,因为开启了双向认证,所有redis客户端也要指定证书。
# 现在和redis服务端使用同一份证书,也可以为redis客户端重新生成证书,只要是同一个CA根证书签发的就可以
redis-cli --tls \
--cert /tls/redis.crt \
--key /tls/redis.key \
--cacert /tls/ca.crt

至此Redis TLS Docker容器配置成功。

参考文档

https://devpress.csdn.net/redis/62ed1a027e668234661807b8.html

Spring-Data-Redis和Redisson TLS连接方式

请参考:Spring-Data-Redis 和 Redisson TLS加密 连接

MK 乘风破浪~
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
又拍云 Redis 的改进之路
github_36774378的博客
06-29 781
作为推出国内首创可编程 CDN 服务的专业云服务提供商,又拍云利用 CDN 边缘网络规模和性能,允许客户自定义编写规则来满足常用业务场景。
redis 6.0 windows 版本
02-15
5. **TLS/SSL支持**:增加了对传输层安全协议的支持,能提供加密的网络通信,增强了数据传输的安全性。 6. **流(Streams)**:新引入的数据结构,类似于日志,可以用于记录和存储数据流,支持复杂的查询和聚合操作。...
Spring-Data-RedisRedisson TLS加密 连接
MK 乘风破浪~的博客
03-18 2310
Spring-Data-RedisRedisson TLS/SSL 连接 config.useSingleServer().setAddress("rediss://" + host + ":" + port).setPassword(password);
docker搭建redis6.0(docker run&docker compose演示)
最新发布
an_gentle_killer的博客
05-11 519
redis.conf redis配置文件,数据文件,日志文件 挂载,docker run redisdocker compose redis,(CONFIG REWRITE failed: Permission denied/CONFIG REWRITE failed: Device or resource busy)
Docker仓库加密认证
BJZX_OL的博客
12-07 82
实验环境:准备第二台虚拟机并配置docker服务及开启等。一. 强制使用加密访问仓库 insecure registry。部署客户端证书 在certs.d里创建一个以域名命名的目录并拷贝证书过去。###此时远程拉取login登录即可。二. 设置仓库加密。## 记得配置好两台虚拟机仓库名的解析。三. 设置仓库认证。此时报错为没有证书 拷贝证书即可。删除之前创建的容器并添加参数重新运行。升级openssl11软件包。创建serts目录并创建证书。创建认证文件 创空目录并创建文件。
redis-AWS redis 传输中加密 (TLS)登录方式
line_on_database的博客
03-04 2698
一、背景 出于安全考虑,AWS的redis可以采用传输中加密,该方式在redis的6.x版本可由redis本身指定,更老的版本则需要由AWS创建或者由物理机使用stunnel创建 二、登录方式 1.安装stunnel yum install stunnel(centos) brew install stunnel(Mac) 2.编辑配置文件 vi/etc/stunnel/redis-cli.conf(以自己的文件位置为准) fips=no setuid=root(此处...
【云原生】docker安全与https加密的超文本传输协议CA证书生成
liu_xueyin的博客
01-31 1179
HTTP协议无法加密数据,数据传输可能产生泄露、篡改或钓鱼攻击等问题,而启用HTTPS后,可帮助Web服务器和网站间建立可信的HTTPS协议加密链接,为网站安全加锁,保证数据安全传输。服务端会选择加密程度最高的方案,并通过明文方式发送给客户端(与双向认证的核心区别)1)在阿里云、华为云、腾讯云等云服务商那里申请一年有效期的免费证书或者购买证书。服务端会选择加密程度最高的方案,并通过客户端证书里的公钥加密后发送给客户端。用本地的CA证书校验服务端证书的有效性。https双向认证的访问流程。
redis6.0.rar
07-16
最新 redis6.0 windows 版本。 解压出文件,修改 redis-start.bat 里面的路径为 redis 路径。 通过 gpedit.msc 设置开机脚本 可实现开机自动启动 redis
redis6.0 window版本
10-21
4. **TLS加密**:新增了对Transport Layer Security (TLS)的支持,即`redis-cli`和`redis-server`之间可以使用安全的加密连接,增强了数据传输的安全性。 5. **流(Streams)数据类型**:Redis 6.0引入了一种新的数据...
redis离线docker镜像
05-12
docker redis镜像 用于在docker中导入redis的镜像 执行docker load -i redis.tar 即可完成导入操作
Redis 6.0的Windows版本(64位)
08-20
使用cgywin64编译的Redis 6.0,意味着用户无需虚拟机或Docker等额外环境,即可在Windows 64位系统上直接部署和使用Redis。 在实际应用中,Redis常被用作缓存,提高Web应用程序的响应速度,例如存储会话信息、热门...
Docker Registry Server TLS 的私有仓库
good7ob的博客
07-24 124
通过本文的介绍,你已经了解了如何为Docker Registry配置TLS证书,确保私有仓库的通信安全。我们详细介绍了生成TLS证书的步骤,以及如何在Docker Registry中配置TLS使用TLS证书加密Docker Registry的通信可以增强镜像的安全性和可信度,确保镜像的传输和存储过程中的机密性和完整性。希望通过本文的指导,你能够更好地理解和应用Docker Registry的TLS配置,为你的私有镜像仓库提供更高的安全保障。愿你在容器化应用开发的旅程中取得更大的成功!
redis6.2 使用 TLS 的部署(三种高可用模式)
weixin_45444133的博客
11-19 3670
redis6.2 使用 TLS 的部署"三种高可用模式"安装redis6.2 并启用TLS加密安装创建TLS证书编写配置文件systemd管理测试连接redis 主从 配置 tls安装拷贝master 证书 到 slave编写配置文件systemd管理验证主从服务sentinel 哨兵服务创建目录、配置文件systemd管理查看sentinel 状态redis cluster 分片集群TLS安装规划目录及证书编写配置文件创建cluster 集群验证cluster 集群 安装redis6.2 并启用TLS加密
Docker学习(十一)-----docker-ca加密认证
qq_44623314的博客
09-12 765
前面提到的配置是允许所有人都可以访问的,因为docker默认是root权限的,把2375端口暴露在外面,意味着别人随时都可以提取到你服务器的root权限,很容易被黑客黑,因此,docker官方推荐使用加密的tcp连接,以https的方式与客户端建立连接官网文档。
Redis 6.0 TLS支持
middleware2018的博客
09-29 1633
原文:https://redis.io/topics/encryption 翻译:Wen Hui 转载:中间件小哥 Redis从版本6开始支持SSL / TLS,这是一项可选功能,需要在编译时启用。 编译 要使用TLS支持进行构建,你需要OpenSSL开发库(例如Debian / Ubuntu上的libssl-dev)。 运行make BUILD_TLS = yes。 验证 要使用TLS运行Redis测试套件,你需要TCL的TLS支持(即Debian / Ubuntu上的tcl-..
Windows、Ubuntu:在docker使用redis
喵哥的博客
09-07 1550
目录 Windows 安装docker 使用docker开启redis Docker一些常用的命令 pause docker stop vs kill Ubuntu 附:redis -- help Windows 安装docker 在win10下安装docker可以直接安装Docker for Windows Installer.exe,但是得把Hyper-V打开,有时候Hy...
Docker启用TLS进行安全配置
weixin_30879833的博客
08-08 827
之前开启了docker的2375 Remote API,接到公司安全部门的要求,需要启用授权,翻了下官方文档 Protect the Docker daemon socket 启用TLSdocker服务器,生成CA私有和公共密钥 $ openssl genrsa -aes256 -out ca-key.pem 4096 Generating RSA private key, 4096...
docker中配置redis
xtkinglong的专栏
03-12 6429
1、常规操作 docker pull redis(默认你的docker中没有redis) 2、查看redis是否拉取成功 docker images redis 3、创建目录,在你的宿主机,(我是在虚机中建的centos7)为了给redis配置文件使用 4、下载redis,解压,复制redis.conf到你上一步建立的目录下,/home/docker-data-redis 5、解压后,将redis.conf上传 6、一顿操作 6.1、 注释掉127.0.0.1,允许远程访.
redis enable TLS
weixin_30840573的博客
01-07 833
https://docs.microsoft.com/en-us/skype-sdk/sdn/articles/installing-security-certificates https://stackexchange.github.io/StackExchange.Redis/ https://stackoverflow.com/questions/34166796/is-it-...
docker 安装redis6.0
10-22
安装 Redis 6.0 可以 Docker 进行安装,以下是在三台机器上分别安装 Redis 6.0 的命令: 1. 在 192.168.119.158 机器执行以下命令: ``` for port in $(seq 6375 6376); do \ docker run -di --restart always --name redis-${port} --net host \ -v /usr/local/docker-redis/redis-cluster/${port}/conf/redis.conf:/usr/local/etc/redis/redis.conf \ -v /usr/local/docker-redis/redis-cluster/${port}/data:/data \ redis:6.0 redis-server /usr/local/etc/redis/redis.conf; \ done ``` 2. 在 192.168.119.157 机器执行以下命令: ``` for port in $(seq 6373 6374); do \ docker run -di --restart always --name redis-${port} --net host \ -v /usr/local/docker-redis/redis-cluster/${port}/conf/redis.conf:/usr/local/etc/redis/redis.conf \ -v /usr/local/docker-redis/redis-cluster/${port}/data:/data \ redis:6.0 redis-server /usr/local/etc/redis/redis.conf; \ done ``` 3. 在 192.168.119.156 机器执行以下命令: ``` for port in $(seq 6371 6372); do \ docker run -di --restart always --name redis-${port} --net host \ -v /usr/local/docker-redis/redis-cluster/${port}/conf/redis.conf:/usr/local/etc/redis/redis.conf \ -v /usr/local/docker-redis/redis-cluster/${port}/data:/data \ redis:6.0 redis-server /usr/local/etc/redis/redis.conf; \ done ``` 以上命令会在每台机器上启动两个 Redis 实例,分别监听不同的端口。其中,`-v` 参数用于挂载配置文件和数据目录,`redis:6.0` 表示使用 Redis 6.0 镜像,`redis-server /usr/local/etc/redis/redis.conf` 表示启动 Redis 服务并指定配置文件路径。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值