docker安全配置tls证书加密

最新推荐文章于 2024-04-07 19:02:55 发布
最新推荐文章于 2024-04-07 19:02:55 发布
阅读量353 收藏
点赞数 1
分类专栏: docker 文章标签: tls docker 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43515220/article/details/105834417
版权

[root@localhost ~]# mkdir /tls
[root@localhost ~]# cd /tls
[root@localhost tls]# hostnamectl set-hostname master
[root@localhost tls]# su
[root@master tls]# vim /etc/hosts

// 添加master与IP地址映射 //

// 创建ca密钥 //
[root@master tls]# openssl genrsa -aes256 -out ca-key.pem 4096
Generating RSA private key, 4096 bit long modulus
…++
…++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem:
Verifying - Enter pass phrase for ca-key.pem:

// 创建ca证书 //
[root@master tls]# openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj “/CN=*” -out ca.pem
Enter pass phrase for ca-key.pem:

// 创建服务器私钥 //
[root@master tls]# openssl genrsa -out server-key.pem 4096
Generating RSA private key, 4096 bit long modulus
…++
…++
e is 65537 (0x10001)

// 签名私钥 //
[root@master tls]# openssl req -subj “/CN=*” -sha256 -new -key server-key.pem -out server.csr

// 使用ca证书与私钥证书签名 //
[root@master tls]# openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem
Signature ok
subject=/CN=*
Getting CA Private Key
Enter pass phrase for ca-key.pem:

// 生成客户端密钥 //
[root@master tls]# openssl genrsa -out key.pem 4096
Generating RSA private key, 4096 bit long modulus
…++
…++
e is 65537 (0x10001)

// 签名客户端 //
[root@master tls]# openssl req -subj “/CN=client” -new -key key.pem -out client.csr

// 创建配置文件 //
[root@master tls]# echo extendedKeyUsage=clientAuth > extfile.cnf

// 签名证书(需要签名客户端,ca证书,ca密钥) //
[root@master tls]# openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
Signature ok
subject=/CN=client
Getting CA Private Key
Enter pass phrase for ca-key.pem:

// 删除多余文件 //
[root@master tls]# rm -rf ca.srl client.csr extfile.cnf server.csr

// 配置docker //
[root@master tls]# vim /lib/systemd/system/docker.service
ExecStart=/usr/bin/dockerd添加参数:
–tlsverify --tlscacert=/tls/ca.pem --tlscert=/tls/server-cert.pem --tlskey=/tls/server-key.pem

// 重载后重启docker //
[root@master tls]# systemctl daemon-reload
[root@master tls]# systemctl restart docker

// 将三个文件复制到客户端 //
[root@master tls]# scp ca.pem cert.pem key.pem root@192.168.218.148:/etc/docker/
root@192.168.218.148’s password:
ca.pem 100% 1765 1.8MB/s 00:00
cert.pem 100% 1696 1.5MB/s 00:00
key.pem 100% 3247 2.8MB/s 00:00

// 本地测试 //
[root@master tls]# docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version
Client: Docker Engine - Community
Version: 19.03.8
API version: 1.40
Go version: go1.12.17

// 客户端测试 //
[root@localhost ~]# cd /etc/docker/
[root@localhost docker]# docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version
Client: Docker Engine - Community
Version: 19.03.8
API version: 1.40
Go version: go1.12.17

苏某想吃鱼
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Docker启用TLS实现安全配置的步骤
09-29
Docker启用TLS(Transport Layer Security)是保护Docker守护进程套接字安全的重要步骤,它为Docker远程API提供加密和身份验证,防止未授权访问和数据泄露。TLS是一种广泛使用的网络安全协议,用于确保网络通信的...
关于docker安全Docker-TLS加密通讯问题
01-20
一、docker存在的安全问题 docker自身漏洞 作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录Docker历史版本共有超过20项漏洞。黑客常用的攻击手段主要有代码执行、权限提升、 信息泄露、权限绕过等。目前 ...
使用自签名证书配置TLS搭建安全Docker本地私有库
Aurora Silent
12-06 1358
编辑openssl.cnf文件openssl.cnf 文件位置:/etc/pki/tls/openssl.cnf编辑/etc/pki/tls/openssl.cnf文件,在 [v3_ca]下增加一行:[ v3_ca ] subjectAltName = IP:192.168.169.125 # 此处IP设置为Docker本地私有库所在主机IP然后使用openssl命令在当前的certs目录下创
Docker--TLS加密通讯详解
weixin_47153988的博客
09-27 250
文章目录一、Docker存在的安全问题二、TLS加密通讯三、TLS安全加密配置3.1 实验环境3.2 实验操作3.3 实验测试 一、Docker存在的安全问题 1、Docker 自身漏洞 作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录 Docker 历史版本共有超过20项漏洞。 黑客常用的攻击手段主要有代码执行、权限提升、信息泄露、权限绕过等。目前 Docker版本更迭非常快,Docker 用户最好将 Docker 升级为最新版本。 2、Docker 源码问题 Docker 提供了 Do
Docker开启并配置远程安全访问_docker开启远程访问
最新发布
m0_60635176的博客
04-07 1063
外链图片转存中…(img-7BC1fVCo-1712487763996)]
docker引擎开启TLS双向认证
qq_21442867的博客
07-07 956
文章目录0 环境信息1 创建CA证书1.1 创建CA私钥1.2 生成CA证书2 用ca 证书签发服务端 证书3 为docker引擎部署服务端证书5 用ca 证书签发客户端证书:6 验证 tls 证书7 补充 0 环境信息 docker 引擎服务端 192.168.3.16 docker 客户端 192.168.3.14 docker 版本 19.03.9 1 创建CA证书 1.1 创建CA私钥 可在任意一个可以使用 openssl 命令行工具的操作系统 创建证书相关的文件 创建一个
Docker安全配置Docker-TLS加密
kele_baba
08-05 1631
Docker安全配置一、Docker 容器与虚拟机的区别1、隔离与共享2、性能与损耗二、Docker 存在的安全问题1、Docker 自身漏洞2、Docker 源码问题三、Docker 架构缺陷1、容器之间的局域网攻击2、DDoS 攻击耗尽资源3、有漏洞的系统调用4、共享root用户权限四、Docker 安全基线标准1、内核级别2、主机级别3、网络级别4、镜像级别5、容器级别6、其他设置五、部分安全操作1、容器最小化2、Docker remote api 访问控制4、镜像安全5、Docker-TLS加密通讯
HTTPS双向认证
Starr
02-28 6827
文章目录双向认证服务端客户端(问题残留) 双向认证 C/S两端分别生成密钥对,交换公钥,基于公钥验证另一端。 第一步,创建密钥对,把公钥存储为自签名、PEM编码的证书。用openssl即可,这里以一个HTTPS服务端为例: openssl req -nodes -x509 -newkey rsa:4096 -keyout serverKey.pem -out serverCrt.pem -days 365 serverKey.pem包含服务器的私钥,需要保护;serverCrt.pem包含服务器的公钥,用
使用TLS加密通讯远程连接Docker的示例详解
01-20
如果需要以安全的方式通过网络访问 Docker,可以通过指定标志将 Docker 标志指向受信任的 CA 证书来启用 TLS。 在守护程序模式下,它只允许来自由该 CA 签名的证书验证的客户端的连接。在客户端模式下,它仅连接到...
docker中的nginx配置https的方法步骤
09-30
Let's Encrypt 提供了免费且自动化的 SSL/TLS 证书,这使得个人用户也能轻松实现 HTTPS 配置。 首先,确保你的系统已经安装了 Docker 并且运行正常。在 Ubuntu 16.04 或其他 Linux 发行版上,你可以通过 apt-get 来...
Docker开启远程安全访问的图文教程详解
09-29
正确的做法是启用基于证书TLS加密。 #### 1. 创建CA(证书颁发机构)私钥和公钥 在Docker主机上,创建一个目录来存放私钥和公钥,并生成它们: ```bash mkdir -p /usr/local/ca cd /usr/local/ca openssl ...
TLS 1.3 CertificateVerify消息认证的一点心得.docx
11-08
在对TLS1.3的CertificateVerify消息进行验证时,走了一段时间的弯路,希望本文能对研究TLS1.3的CertificateVerify消息认证时有所帮助。
一起讨论研究Docker存在的安全问题以及如何解决
朋来客栈
03-31 512
文章目录Docker 容器与虚拟机的区别1、隔离与共享2、性能与损耗Docker存在的安全问题1、Docker 自身漏洞2、Docker 源码问题Docker 架构缺陷与安全机制1、容器之间的局域网攻击2、DDoS 攻击耗尽资源3、有漏洞的系统调用4、共享root用户权限Docker 安全基线标准1.内核级别2.主机级别3.网络级别4.镜像级别5.容器级别6.其他设置 Docker 容器与虚拟机的区别 1、隔离与共享 虚拟机通过添加 Hypervisor 层,虚拟出网卡、内存、CPU 等虚拟硬件,再在其上
docker(容器)——创建镜像的私有仓库+设置加密认证+远程主机使用容器
qq_46089299的博客
06-04 1481
一、Docker 仓库简介 仓库是集中存放镜像文件的场所。有时候会把仓库和仓库注册服务器(Registry)混为一谈,并不严格区分。;实际上,仓库注册服务器上往往存放着多个仓库,每个仓库中又包含了多个镜像,每个镜像有不同的标签(tag)。 仓库分为公开仓库(Public)和私有仓库(Private)两种形式。最大的公开仓库是 Docker Hub,存放了数量庞大的镜像供用户下载 国内的公开仓库包括 Docker Pool等,可以提供大陆用户更稳定快速的访问;当然,用户也可以在本地网络内创建一个私有仓库;当用
docker容器加密访问的方法
ling的专栏
01-08 9101
对于宿主主机能够操作docker的账号拥有很大的权限,它可以进入宿主主机的所有容器中,因为容器本身的进出是不能加密的。 这种情况在开发测试中不愿意被看到的,可行的办法就是把编辑代码所用的账号和拥有docker权限的账号分开,然后通过ssh的方式登录测试容器环境。 一、容器安装ssh 进入容器中 1.直接安装ssh apt-get update apt-get install openssh-server 如果安装ssh报如下错误: E: Sub-process /usr/bin/dpkg
长文详解!Docker客户端与服务端TLS认证(Docker Remote API认证)
董哥的黑板报
07-28 4527
一、Docker Remote API的认证 在前一篇文章我们介绍了Docker Remote API如何使用:https://blog.csdn.net/qq_41453285/article/details/107642615 在前一篇文章中我们介绍了如何连接到Docker Remote API,但是不意味着任何其他人都能连接到同样的API。从安全的角度上看,这存在一点儿安全问题。不过值得感谢的是,自Docker的0.9版本开始Docker Remote API开始提供了认证机制。这种认证机制采用了
Docker远程接口未授权访问漏洞解决方案之 Docker Remote API TLS 认证
myJavaHe的博客
03-15 2048
Docker远程接口未授权访问漏洞解决方案之 Docker Remote API TLS 认证
docker远程连接证书生成步骤
hjg719的博客
09-26 1177
docker证书生成步骤
docker engine配置json
06-11
Docker引擎的配置文件一般为daemon.json,它是一个JSON格式的文件,用于配置Docker引擎的各项参数。下面是一个简单的示例: ``` { "debug": true, "tls": true, "tlscert": "/path/to/cert.pem", "tlskey": "/path/to/key.pem", "hosts": ["tcp://0.0.0.0:2376", "unix:///var/run/docker.sock"], "labels": ["foo=bar", "baz"] } ``` 其中,一些常用的配置项包括: - debug:是否开启调试模式,默认为false。 - tls:是否开启TLS加密,默认为false。 - tlscert:TLS证书路径。 - tlskey:TLS密钥路径。 - hosts:Docker引擎的监听地址,可以是TCP或Unix socket地址。 - labels:为这个Docker Daemon设置标签。 更多配置项可以参考Docker官方文档。注意,在修改配置文件后,需要重启Docker引擎才能生效。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值