Docker-TLS加密通讯证书生成方法

最新推荐文章于 2024-04-01 14:29:50 发布
最新推荐文章于 2024-04-01 14:29:50 发布
阅读量621 收藏
点赞数
分类专栏: Docker 文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014042047/article/details/108861862
版权

  • 为了防止链路劫持,会话劫持等问题导致Docker通信被中间人攻击,C/S两端应该用过加密方式通讯

  • 证书生成流程:

1、新建一个目录用于存放证书及密钥文件

mkdir /tls
cd /tls

2、修改主机名并写入host文件中

hostnamectl set-hostname server

vim /etc/hosts
127.0.0.1 server

开始生成证书:

3、创建ca密钥(根证书私钥)

openssl genrsa -aes256 -out ca-key.pem 4096

交互式信息,提示设置密钥的密码:
Enter pass phrase for ca-key.pem:      ## 我这里输入的是123456
Verifying - Enter pass phrase for ca-key.pem:    ## 确认一遍密码

4、创建ca证书

openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem

交互式信息,提示刚才设置密钥的密码:
Enter pass phrase for ca-key.pem:      ## 输入123456

5、创建服务器私钥

openssl genrsa -out server-key.pem 4096

6、签名服务器私钥

openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr

7、使用ca证书与私钥证书签名(生成服务器端证书)

openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem

交互式信息,提示输入密码:
Enter pass phrase for ca-key.pem:       ## 输入123456

8、生成客户端密钥

openssl genrsa -out key.pem 4096

9、签名客户端

openssl req -subj "/CN=client" -new -key key.pem -out client.csr

10、创建配置文件

echo extendedKeyUsage=clientAuth > extfile.cnf

11、签名证书

openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf

交互式信息,提示输入密码:
Enter pass phrase for ca-key.pem:       ## 输入123456

12、tls目录下删除多余文件

rm -rf ca.srl client.csr extfile.cnf server.csr

13、查看一下tls目录下文件

[tls目录中应该剩下的文件(6个)]
-rw-r--r--. 1 root root 3326 9月  24 21:47 ca-key.pem
-rw-r--r--. 1 root root 1765 9月  24 21:48 ca.pem
-rw-r--r--. 1 root root 1696 9月  24 21:50 cert.pem
-rw-r--r--. 1 root root 3243 9月  24 21:49 key.pem
-rw-r--r--. 1 root root 1647 9月  24 21:49 server-cert.pem
-rw-r--r--. 1 root root 3243 9月  24 21:48 server-key.pem

14、配置docker

vim /lib/systemd/system/docker.service

将第14行注释掉,并在下面添加一行:
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/tls/ca.pem --tlscert=/tls/server-cert.pem --tlskey=/tls/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock

15、重载系统参数并重启docker服务

systemctl daemon-reload
systemctl restart docker

16、本地验证证书是否生效

docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://server:2376 version

如果能正常显示版Docker版本信息说明证书配置成功

在另一客户端上访问本地Docker容器方法

1、将刚才server上生成的证书文件(3个)文件上传到客户端

scp ca.pem root@192.168.50.144:/etc/docker
scp cert.pem root@192.168.50.144:/etc/docker
scp key.pem root@192.168.50.144:/etc/docker

2、进入/etc/docker目录下,执行命令就可以查看到远程服务器docker的版本

docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://server:2376 version
琴酒3
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker - 通过脚本自动创建 Docker TLS 证书
简简单单Onlinezuozuo
10-16 4687
文章目录Docker - 通过脚本自动创建 Docker TLS 证书1、具体脚本2、修改配置为自己的配置3、客户端证书下载 Docker - 通过脚本自动创建 Docker TLS 证书 1、具体脚本 通过脚本一键生成Docker TLS 的证书 #!/bin/bash # ------------------------------------------------------------...
Docker启用TLS实现安全配置的步骤
09-29
Docker启用TLS(Transport Layer Security)是保护Docker守护进程套接字安全的重要步骤,它为Docker远程API提供加密和身份验证,防止未授权访问和数据泄露。TLS是一种广泛使用的网络安全协议,用于确保网络通信的...
docker 生成TLS认证证书
martin_violet的博客
04-14 2213
docker ssl TSL 证书
Docekr 建立 Tls 证书安全连接(idea测试)
Is210416的博客
03-11 274
该博客目的是在服务器端docker生成并开启Tls证书加密连接,并使用本地idea测试远程安全连接。
生成docker 用ssl认证证书
海风开源
06-04 396
自签证书,用于部署需要ssl认证的应用。
Docker的TLS认证
qq_27858615的博客
07-28 1449
docker的TLS认证
使用TLS加密通讯远程连接Docker的示例详解
01-20
通过以上步骤,Docker守护程序和客户端之间的通信将受到TLS加密的保护,防止未经授权的第三方窃听或篡改数据。这种安全配置对于在生产环境中管理和部署容器至关重要,确保了数据和资源的安全性。
Docker-Swarm(一)
07-23
Swarm 提供了内置的安全措施,如 TLS 加密通信,确保节点间的所有通信都是加密和安全的。此外,可以通过设置认证令牌来控制新节点加入集群,防止未经授权的访问。 ### 锁定 Swarm 为了防止未授权的修改,可以使用 `...
docker-jenkins-bootstrap:使用Terraform,Ansible,Docker Compose和Groovy初始化脚本引导Jenkins
01-31
【letsencrypt】是一个免费的SSL/TLS证书颁发机构,用于提供安全的HTTPS连接。在项目中,可能涉及配置Traefik或Nginx等反向代理,利用letsencrypt为Jenkins提供加密连接。 【traefik】是一个流行的反向代理和负载...
docker-gemstash-aws:适用于AWS的Gemstash映像
03-29
Docker映像-Gemstash AWS 发展 管理CircleCI密钥 加密供CircleCI使用的GPG密钥: openssl aes-256-cbc \ ...生成TLS证书和密钥: openssl req \ -x509 \ -newkey rsa:4096 \ -keyout spec/fixt
docker生成ssl证书(按步骤来即可,真实可用)
guochengabcd的博客
09-06 2182
docker生成证书
Docker 服务 TLS 证书全自动生成
weixin_33898876的博客
12-20 623
以下是我整理的一个 Bash 脚本代码,保存为 auto-tls-certs.sh 脚本文件,修改配置信息,然后 /bin/bash auto-tls-certs.sh 执行即可。 整个过程无需人工干预!不多说,直接上代码! Bash 脚本代码 #!/bin/bash # # Created by L.STONE <web.de...
【Docker】TLS 认证
记录了,但是完全不会。
07-05 645
使用脚本快速创建TLS证书并部署到Docker服务,解决2375端口引发的安全漏洞。
Docker开启TLS和CA认证
小强崽的博客
08-26 668
前言:Docker直接开启2375端口是不安全的,别人只要连上之后就可以任意操作,下面是开启Docker的TLS和CA认证方法,并使用Jenkins和Portainer连接。 一、生成证书 查看服务器主机名 hostname auto-generate-docker-tls-ca.sh # !/bin/bash # 一键生成TLS和CA证书 # Create : 2021-08-25 # Update : 2021-08-25 # @Autor : wuduoqiang # 服务器主机名 SE.
docker管理工具之证书的制作与证书加密
love_sunshine_999的博客
08-23 841
1.证书的制作 ##下载registry镜像 lftp 172.25.254.251:/pub/docs/docker&amp;amp;amp;gt; get registry.tar ##导入镜像 [root@foundation52 kiosk]# docker load -i registry.tar ## [root@foundation52 kiosk]# docker run -d -p 5000:500...
Docker基础系列之TLS和CA认证
最新发布
囚徒之困
04-01 1257
Docker TLS和CA认证
实战「 docker TLS加密通讯
多一份贡献,多一份环保
07-08 8103
快速配置一个最简单的docker TLS加密通讯使用说明演示环境(centos7,docker17.06.0-ce)创建一个文件夹mkdir /ssl创建ca密钥openssl genrsa -aes256 -out ca-key.pem 4096创建ca证书openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*"
如何利用Docker生成SSL证书
weixin_34252686的博客
08-01 595
【51CTO.com快译】在今天的文章中,我们将突破依靠主机实现SSL证书的局限,了解如何利用Docker生成此类证书。 当说起“Docker”与“SSL”,很多朋友首先想到的可能是利用SSL证书以保护Docker守护程序自身。没错,这项工作非常重要,但与之相关的指导资料已经相当丰富。今天,我们将反其道而行之,考虑如何利用Docker容器为主机创建SSL...
Docker - 实战TLS加密通讯
Gblfy_Blog
06-12 1152
使用说明 演示环境(centos7,docker17.06.0-ce) 创建一个文件夹 mkdir /ssl cd /ssl 创建ca密钥 openssl genrsa -aes256 -out ca-key.pem 4096 创建ca证书 openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out...
traefik 结合 docker-compose 的快速安装及使用
06-02
这个命令会在 certs 目录下生成一个 key.pem 和 cert.pem 文件,用于 HTTPS 请求的 TLS 加密。 5. 运行 docker-compose 命令启动 Traefik 服务: ``` docker-compose up -d ``` 现在,Traefik 服务已经启动,并...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值