docker 配置远程连接 使用证书

最新推荐文章于 2024-04-01 14:29:50 发布
最新推荐文章于 2024-04-01 14:29:50 发布
阅读量1.4k 收藏 2
点赞数
分类专栏: linux
原文链接:https://www.cnblogs.com/niceyoo/p/13270224.html
版权

系统:centos7

docker:1.13.1

 

以下命令都在docker服务器上运行,使用root用户身份

创建CA私钥和CA公钥
(1)首先创建一个ca文件夹用来存放私钥跟公钥

mkdir -p /usr/local/ca

cd /usr/local/ca

(2)生成CA私钥和公钥

要输密码,示例使用 test

openssl genrsa -aes256 -out ca-key.pem 4096

(3)补全CA证书信息

可以随便输,示例都用 te

openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem

(4)生成server-key.pem

openssl genrsa -out server-key.pem 4096

(5)用CA签署公钥

192.168.1.102 改为实际ip

openssl req -subj "/CN=192.168.1.102" -sha256 -new -key server-key.pem -out server.csr

(6)匹配白名单,允许指定的ip可以连接到服务器中的docker,多个ip用逗号分隔。

192.168.1.102 改为实际ip

这里跟原文有点不一样,多写一个 IP:服务器地址 ,不然最后连接会报错。(想来应该是DNS:得改成IP:,毕竟用的不是dns)

echo subjectAltName = DNS:192.168.1.102,IP:192.168.1.102,IP:0.0.0.0 >> extfile.cnf

(7)将Docker守护程序密钥的扩展使用属性设置为仅用于服务器身份验证

echo extendedKeyUsage = serverAuth >> extfile.cnf

(8)生成签名整数

要输密码,示例为 test

openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf

(9)生成客户端的key.pem

openssl genrsa -out key.pem 4096

openssl req -subj '/CN=client' -new -key key.pem -out client.csr

(10)要使秘钥适合客户端身份验证

echo extendedKeyUsage = clientAuth >> extfile.cnf

echo extendedKeyUsage = clientAuth > extfile-client.cnf

(11)生成签名整数

要输密码,示例为 test

openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile-client.cnf

(12)删除不需要的文件,两个整数签名请求

rm -f -v client.csr server.csr extfile.cnf extfile-client.cnf

(13)限制文件权限

chmod -v 0400 ca-key.pem key.pem server-key.pem
chmod -v 0444 ca.pem server-cert.pem cert.pem

(14)归集服务器证书

cp server-*.pem /etc/docker/
cp ca.pem /etc/docker/

(15)修改Docker配置, 使Docker守护程序仅接收来自提供CA信任的证书的客户端的链接

vim /lib/systemd/system/docker.service

原博客是这样的:

将 ExecStart 属性值进行替换:

ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/usr/local/ca/ca.pem --tlscert=/usr/local/ca/server-cert.pem --tlskey=/usr/local/ca/server-key.pem -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock

现在的话:

1.13.1版本的docker, ExecStart 属性值比原博客的多了一些,

只把 /usr/bin/dockerd 后面的部分:

--tlsverify --tlscacert=/usr/local/ca/ca.pem --tlscert=/usr/local/ca/server-cert.pem --tlskey=/usr/local/ca/server-key.pem -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock

加进去就行

效果就像我截的图这样。

如果一开始的目录有更改,这里也要跟着改。其实之前有复制到 /etc/docker , 用那个目录也行。

(16)重新加载daemon并重启docker

systemctl daemon-reload

systemctl restart docker

 

测试:

使用idea的docker插件

1.协议头 TCP ->  HTTPS

2.端口号用第(15)步指定的端口,如:-H tcp://0.0.0.0:2375 是2375,-H tcp://0.0.0.0:34560 是34560

3.把第(1)步文件夹里的东西都拷到一个本地目录,证书文件夹就选那个目录。

 

插件位置:

 

混乱谜零
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
docker daemon远程连接设置详解
09-30
本篇文章主要介绍了docker daemon远程连接设置详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Linux开启Docker远程访问并设置安全访问(证书密钥),附一份小白一键设置脚本哦!
Jan's的博客
01-18 2809
喜欢折腾慢慢看,不喜欢折腾直接跳到小简下文的一键脚本那里,两分钟搞好。我的博客:https://blog.ideaopen.cn我的公众号:小简聊开发一键脚本很方便,小简推荐使用这个,不折腾,我是折腾玩儿才不用脚本的。生产环境安全不容疏忽,大家公网环境可千万别粗心大意哦!Docker很多教程都只告诉你打开连接,万一有人服务器上开启连接,那就不是很好了,所以我才写一篇安全认证配置远程连接配置一起的教程。下期再见,小简提前祝大家新春快乐哦!
Docker基础系列之TLS和CA认证
最新发布
囚徒之困
04-01 1020
Docker TLS和CA认证
docker 配置远程连接 使用证书 使用脚本
u013595395的博客
08-14 490
系统:centos7 docker:1.13.1 使用步骤: 1.右键编辑脚本,修改ip,password,dir三个变量值 — — ip是ip,password是创建证书过程中用到的密码,dir是存放证书的目录。 2.运行脚本: sh dk_link.sh 3.修改docker配置文件/lib/systemd/system/docker.service , 搜索ExecStart 在ExecStart属性上添加: --tlsverify --tlscacert=/a_sof...
docker远程访问TLS证书认证shell
weixin_30416871的博客
06-01 207
docker开启远程访问端口,防止非法访问 配置证书认证 配置防火墙或安全策略 #!/bin/bash # docker.tls.sh # 环境centos 7 ,root # 创建 Docker TLS 证书 ##########配置信息 Port=2376 Node=$(hostname) IP=$(ip add|sed -nr 's#^.*in...
Docker开启安全的TLS远程连接
qq_36284689的博客
06-18 454
目录1.1 不安全的远程访问方式1.1.1 编辑docker.service文件:1.1.2 重新加载Docker配置生效1.1.3 警告!2.1 建立基于TLS数字签名的安全连接1.1 不安全的远程访问方式 1.1.1 编辑docker.service文件: vi /usr/lib/systemd/system/docker.service 找到 [Service] 节点,修改 ExecSta...
Linux开启Docker远程访问并设置安全访问(证书密钥)
阿泽的博客
09-13 83
ca证书路径就是你自己生成证书的路径,请将xx替换成你自己的路径。保存到一个文件夹,然后idea配置,记住一定是要。编辑docker.service配置文件。运行前请给脚本文件777权限。
Docker开启远程安全访问
云天空的博客
05-08 802
一、编辑docker.service文件 vi /usr/lib/systemd/system/docker.service 找到[Service]节点,修改 ExecStart 属性,增加-H tcp://0.0.0.0:2375 ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock -H tcp://0.0.0.0:2375 这样相当于对外开放的是2375端口,当然也...
docker远程连接证书生成步骤
hjg719的博客
09-26 1115
docker证书生成步骤
如何开启Docker的远程访问
热门推荐
sg_knight的专栏
08-13 1万+
本文为转载文章,主要介绍如何开启docker的远程访问并通过idea进行远程操作。
linux环境docker安装应用/配置证书
SHNotCultrue的博客
11-18 1227
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
使用portainer连接远程docker的教程
09-29
Portainer是一个轻量级的docker环境管理UI,可以用来管理docker宿主机和docker swarm集群,这篇文章主要介绍了使用portainer连接远程docker的方法,需要的朋友可以参考下
docker部署mysql 实现远程连接的示例代码
09-09
主要介绍了docker部署mysql 实现远程连接的示例代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
docker 访问外部 https 的数字证书验证问题
我爱盐酥鸡
07-16 2119
我们在构建 docker 镜像时一般使用的是 alpine linux 系统,默认是不带 ca-certificates 根证书的,导致无法识别外部 https 携带的数字证书。 那么,在访问的时候就会抛出 x509: certificate signed by unknown authority 的错误,导致 docker 容器的接口服务返回 500。 为了解决证书验证的问题,我们要在构建 docker 镜像的时候把 ca-certificates 根证书给装上,这样就能识别来自外部 https 的数字证
Docker使用SSL证书加密远程连接(附IDEA连接教程)
pcdd 的博客
10-24 8168
如果只是自己的虚拟机做快速演示,比如idea连接docker,可以直接开启端口,无需加密,节省时间 公网环境严禁直接暴露端口,机器会被挖矿! vim /usr/lib/systemd/system/docker.service 改为 ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock -H tcp://0.0.0.0:2376 1.编写shell脚本,命名为docker_cert.sh #!/b
远程docker服务器携带证书连接
齐天小圣^O^ 的博客
11-02 946
一切的前提条件是远程服务器已经安装好了docker,并且docker已经在服务器上正常运行,接下来完成idea携带证书远程连接docker的步骤。 1、用脚本给docker进行tls加密 下面是从 加密脚本 大佬处得来的加密脚本,接下来用这个脚本完成加密证书文件的生成。 在/root目录下创建加密脚本:vi create_verify.sh。 注意脚本中“x.x.x.x”处填入自己服务器的公网ip。 #!/bin/bash mk...
docker 配置远程访问证书验证
weixin_30388677的博客
05-07 678
centos7 生成证书 工具:openssl #cd /etc/dockerdocker证书一般放这) #openssl genrsa -aes256 -passout pass:密码 -out ca-key.pem 2048 会出现: Generating RSA private key, 2048 bit long modulus...................
Docker 开启SSL证书加密远程链接
唯爱丨晓翔的博客
02-15 4112
Docker 开启TSL证书加密远程链接1. 使用openssl 制作证书密钥1.1. 在服务器中新建目录/etc/docker,并切换到该目录下1.2. 创建根证书RSA私钥:1.3. 创建CA证书1.4. 创建服务端私钥1.5. 创建服务端签名请求证书文件1.6. 创建签名生效的服务端证书文件1.7. 创建客户端私钥1.8. 创建客户端签名请求证书文件1.9. 创建extfile.cnf的配置...
Docker - 通过IDEA和CA证书加密远程链接到服务器上的Docker
简简单单Onlinezuozuo
07-07 6629
文章目录Docker - 通过IDEA和CA证书加密远程链接到服务器上的Docker1、直接设置任意远程访问存在的问题2、创建一个ca 的文件夹3、创建一个key4、填写一些基本的信息,国家啊,地区什么的5、生成server-key.pem6、绑定IP或者域名7、配置白名单8、生成ca-key9、生成cert.pem10、修改权限11、把证书复制过去12、修改docker配置13、重启dock...
docker无法远程连接mysql2003
06-12
如果你完成了以上步骤还是无法远程连接 MySQL,可以尝试使用 telnet 命令或者 nc 命令测试是否能够访问 MySQL 服务所在的主机和端口。如果还有问题,请提供更详细的错误信息,以便我能够更好地帮助你解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值