Docker-TLS加密通讯

最新推荐文章于 2024-06-25 11:14:25 发布
最新推荐文章于 2024-06-25 11:14:25 发布
阅读量179 收藏
点赞数
分类专栏: 容器 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41648905/article/details/109763672
版权

为了防止链路劫持、会话劫持等问题导致 Docker 通信时被中 间人攻击,client/server 两端应该通过加密方式通讯。

什么是TLS

传输层安全性协议(英语:Transport Layer Security,缩写作TLS),及其前身安全套接层(Secure Sockets Layer,缩写作SSL)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。
SSL包含记录层(Record Layer)和传输层,记录层协议确定传输层数据的封装格式。传输层安全协议使用X.509认证,之后利用非对称加密演算来对通信方做身份认证,之后交换对称密钥作为会谈密钥(Session key)。这个会谈密钥是用来将通信两方交换的数据做加密,保证两个应用间通信的保密性和可靠性,使客户与服务器应用之间的通信不被攻击者窃听。

配置docker容器TLS加密通讯的方法

1.创建一个ca密钥 ca-key.pem

openssl genrsa -aes256 -out ca-key.pem 4096			#自己输入一个密码

2.由ca密钥生成一个ca证书 ca.pem

openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem		#需要输入密码

3.创建服务器私钥 server-key.pem

openssl genrsa -out server-key.pem 4096

4.签名私钥 server.scr

openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr

5.生成数字证书 server-cert.pem

openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem

6.生成客户端密钥 key.pem

openssl genrsa -out key.pem 4096

7.签名客户端私钥 client.csr

openssl req -subj "/CN=client" -new -key key.pem -out client.csr

8.创建配置文件,生成client自签证书

echo extendedKeyUsage=clientAuth > extfile.cnf

9.生成客户端数字证书 cert.pem

openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf

10.删除多余文件

rm -rf ca.srl client.csr extfile.cnf server.csr

11.配置docker

vim /lib/systemd/system/docker.service
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/tls/ca.pem --tlscert=/tls/server-cert.pem --tlskey=/tls/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock				#端口号可自定义

12.重新加载和启动服务

systemctl daemon-reload
systemctl restart docker

13.将ca.pem、cert.pem、key.pem上传客户端

scp ca.pem root@192.168.100.12:/etc/docker/
scp cert.pem root@192.168.100.12:/etc/docker/
scp key.pem root@192.168.100.12:/etc/docker/

验证

本地验证

echo "192.168.100.100 masher" >> /etc/hosts
docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version

#此处必须做域名映射,master要映射到服务端ip地址
发现可以正常查看

客户端验证

echo "192.168.100.100 masher" >> /etc/hosts
docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version

也能正常访问查看docker版本信息

?普天?
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
docker——tls(ssl)加密通信
Yusheng9527的博客
03-16 1864
docker——tls(ssl)加密通信DockerClient端与DockerDaemon的通信安全(https证书)背景使用证书访问的工作流程部署思路证书创建过程环境准备创建一个存放目录生成ca证书1)创建ca私钥2)创建ca证书用ca证书签发server端证书1)创建服务器私钥2)生成证书签名请求文件(csr文件)3)使用ca证书与私钥证书签发服务端签名证书用ca证证书签发client端证书1)生成客户端私钥2)生成证书签名请求文件3)创建扩展配置文件,使秘钥适合客户端身份验证4)使用ca证书签发客户
Docker之TLS加密通讯详解
weixin_62453238的博客
03-15 5217
TLS安全加密配置 3.1 实验环境 两台服务器 master:192.168.179.121 client:192.168.179.122 3.2 实验操作 服务器端修改ip地址和其对应主机名的文件 服务器客户端修改ip地址和服务器端对应主机名的文件 创建ca密钥 创建ca证书 创键服务器私钥 创建签名私钥 使用ca证书与私钥证书签名 生成客户端密钥 签名客户端 创建配置文件 签名证书,需要(签名客户端,ca证书,ca密钥) ...
prometheus报错Client sent an HTTP request to an HTTPS server.
空山新雨后,天气晚来秋
08-11 5834
问题背景 prometheus与node_exporter进行加密通信设置时报改错 解决 其实见名知义,两边协议不一致。 检查prometheus的配置是否遗漏 scheme: https 正确的位置:
Docker--TLS加密通讯部署
weixin_45693462的博客
04-29 283
什么是TLS加密? TLS:传输层安全协议,是一种安全协议,目的是为互联网通信提供安全及数据完整性保障 TLS协议的优势是与高层的应用层协议(如HTTP、FTP、Telnet等)无耦合。应用层协议能透明地运行在TLS协议之上,由TLS协议进行创建加密通道需要的协商和认证。应用层协议传送的数据在通过TLS协议时都会被加密,从而保证通信的私密性 Docker–TLS加密通讯配置 为了防止链路劫持、会话...
实战「 docker TLS加密通讯
多一份贡献,多一份环保
07-08 8092
快速配置一个最简单的docker TLS加密通讯使用说明演示环境(centos7,docker17.06.0-ce)创建一个文件夹mkdir /ssl创建ca密钥openssl genrsa -aes256 -out ca-key.pem 4096创建ca证书openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*"
docker安全---Docker-TLS加密通讯
weixin_51725822的博客
04-02 200
docker安全---Docker-TLS加密通讯一、Docker 容器与虚拟机的区别1.隔离与共享2.性能与损耗二、Docker 存在的安全问题1.Docker 自身漏洞2.Docker 源码问题三、Docker 架构缺陷与安全机制四、Docker 安全基线标准1.内核级别2.主机级别3.网络级别4.镜像级别5.容器级别6.其他设置五、容器最小化六、Docker remote api 访问控制七、限制流量流向八、镜像安全九、Docker-TLS加密通讯1、创建ca密钥2、创建ca证书3、创建服务器私钥4、
关于docker安全之Docker-TLS加密通讯问题
01-20
一、docker存在的安全问题 docker自身漏洞 作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录Docker历史版本共有超过20项漏洞。黑客常用的攻击手段主要有代码执行、权限提升、 信息泄露、权限绕过等。目前 ...
Docker启用TLS实现安全配置的步骤
09-29
Docker启用TLS(Transport Layer Security)是保护Docker守护进程套接字安全的重要步骤,它为Docker远程API提供加密和身份验证,防止未授权访问和数据泄露。TLS是一种广泛使用的网络安全协议,用于确保网络通信的...
docker-compose安装elasticsearch集群.docx
06-19
在实际环境中,根据需求调整节点数量,以及考虑安全设置,如启用X-Pack安全功能,添加SSL/TLS加密等。 总结,本文介绍了使用`docker-compose`安装Elasticsearch集群的方法,以及配置文件的关键设置,帮助读者理解...
docker-websvn:用于 Subversion 存储库的 Websvn UI
06-25
如果您希望它位于不同的路径下或使用 TLS/SSL 加密,那么前端代理可以提供该功能。 此外,您可以设置环境变量 SVN_UID 和 SVN_GID 来控制将访问存档(和 htpasswd)的用户和组。 您可以通过将其放置在 /svn/websvn....
使用TLS加密通讯远程连接Docker的示例详解
01-20
如果需要以安全的方式通过网络访问 Docker,可以通过指定标志将 Docker 标志指向受信任的 CA 证书来启用 TLS。 在守护程序模式下,它只允许来自由该 CA 签名的证书验证的客户端的连接。在客户端模式下,它仅连接到...
Docker - 实战TLS加密通讯
Gblfy_Blog
06-12 1148
使用说明 演示环境(centos7,docker17.06.0-ce) 创建一个文件夹 mkdir /ssl cd /ssl 创建ca密钥 openssl genrsa -aes256 -out ca-key.pem 4096 创建ca证书 openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out...
TLS加密远程连接Docker
程序员欣宸的博客
09-07 2434
学习Docker官方推荐的安全的远程连接方式:TLS加密连接
Docker开启安全的TLS远程连接
qq_36284689的博客
06-18 462
目录1.1 不安全的远程访问方式1.1.1 编辑docker.service文件:1.1.2 重新加载Docker配置生效1.1.3 警告!2.1 建立基于TLS数字签名的安全连接1.1 不安全的远程访问方式 1.1.1 编辑docker.service文件: vi /usr/lib/systemd/system/docker.service 找到 [Service] 节点,修改 ExecSta...
临时关闭Windows安全中心
Chasingthewinds的博客
06-22 277
临时关闭微软安全中心
CAC 2.0融合智谱AI大模型,邮件安全新升级
CACTER_S的博客
06-21 470
CAC2.0反钓鱼防盗号已成功引入清华智谱ChatGLM大语言模型!
c++中串口的安全封装使用
jjjxxxhhh123的博客
06-21 330
对于内置类型,如果不显式初始化,它们的值是未定义的,可能包含任何内容。在你的代码中,buffer是一个字符数组,不需要显式初始化,因为你马上就会用::read函数把数据填充进去。字符串构造:如果::read返回负值,那么std::string(buffer, bytes_read)中的bytes_read将是负值,这会导致未定义行为。你需要确保bytes_read是非负的。在上述代码中,我添加了对read函数返回值的检查,以确保没有发生错误。如果::read返回负值,我们将抛出一个异常,以指示读取失败。
NAS安全存储怎样实现更精细的数据权限管控?
最新发布
文件数据安全交换
06-25 492
飞驰云联是中国领先的数据安全传输解决方案提供商,长期专注于安全可控、性能卓越的数据传输技术和解决方案,公司产品和方案覆盖了跨网跨区域的数据安全交换、供应链数据安全传输、数据传输过程的防泄漏、FTP的增强和国产化替代、文件传输自动化和传输集成等各种数据传输场景。飞驰云联主要服务于集成电路半导体、先进制造、高科技、金融、政府机构等行业的中大型客户,现有客户超过500家,其中500强和上市企业150余家,覆盖终端用户超过40万,每年通过飞驰云联平台进行数据传输和保护的文件量达到4.4亿个。3)文件的审批与安检。
docker -p 和nginx
07-15
使用 Nginx,你可以将多个后端服务进行负载均衡,并且能够提供静态文件服务、SSL/TLS 加密等功能。通过结合 Docker 和 Nginx,你可以将 Nginx 部署到容器中,并通过端口映射将主机上的请求转发到 Nginx 容器内部。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值