创建Docker TLS 证书

最新推荐文章于 2023-11-24 22:02:01 发布
最新推荐文章于 2023-11-24 22:02:01 发布
阅读量510 收藏 3
点赞数 3
分类专栏: docker 文章标签: docker java tls
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43830079/article/details/110986123
版权

创建Docker TLS 证书

1、编写创建脚本 docker-install-tls.sh 并执行


#创建 Docker TLS 证书
#!/bin/bash

#相关配置信息 SERVER需要更改为对应服务器IP
SERVER="172.16.0.73"
PASSWORD="123456"
COUNTRY="CN"
STATE="广东省"
CITY="广州市"
ORGANIZATION="测试环境"
ORGANIZATIONAL_UNIT="Dev"
EMAIL="xxx@163.com"

###开始生成文件###
echo "开始生成文件"

#切换到生产密钥的目录
if [ -d  /etc/docker  ]
then
    echo "/etc/docker 已存在"
else
    mkdir /etc/docker
fi
cd /etc/docker
#生成ca私钥(使用aes256加密)
openssl genrsa -aes256 -passout pass:$PASSWORD  -out ca-key.pem 2048
#生成ca证书,填写配置信息
openssl req -new -x509 -passin "pass:$PASSWORD" -days 3650 -key ca-key.pem -sha256 -out ca.pem -subj "/C=$COUNTRY/ST=$STATE/L=$CITY/O=$ORGANIZATION/OU=$ORGANIZATIONAL_UNIT/CN=$SERVER/emailAddress=$EMAIL"

#生成server证书私钥文件
openssl genrsa -out server-key.pem 2048
#生成server证书请求文件
openssl req -subj "/CN=$SERVER" -new -key server-key.pem -out server.csr
#使用CA证书及CA密钥以及上面的server证书请求文件进行签发,生成server自签证书
openssl x509 -req -days 3650 -in server.csr -CA ca.pem -CAkey ca-key.pem -passin "pass:$PASSWORD" -CAcreateserial  -out server-cert.pem

#生成client证书RSA私钥文件
openssl genrsa -out key.pem 2048
#生成client证书请求文件
openssl req -subj '/CN=client' -new -key key.pem -out client.csr

sh -c 'echo "extendedKeyUsage=clientAuth" > extfile.cnf'
#生成client自签证书(根据上面的client私钥文件、client证书请求文件生成)
openssl x509 -req -days 3650 -in client.csr -CA ca.pem -CAkey ca-key.pem  -passin "pass:$PASSWORD" -CAcreateserial -out cert.pem  -extfile extfile.cnf

#更改密钥权限
chmod 0400 ca-key.pem key.pem server-key.pem
#更改密钥权限
chmod 0444 ca.pem server-cert.pem cert.pem
#删除无用文件
rm client.csr server.csr

echo "生成文件完成"
###生成结束###

2、修改docker.service文件

  • 执行命令 systemctl status docker 查看docker.service文件路径
  • 编辑 docker.service 文件,添加证书
    在这里插入图片描述
  --tlsverify \
  --tlscacert=/etc/docker/ca.pem \ 
  --tlscert=/etc/docker/server-cert.pem \          
  --tlskey=/etc/docker/server-key.pem \     
  -H tcp://0.0.0.0:2376 \    
  -H unix:///var/run/docker.sock

3、重启docker

systemctl daemon-reload
systemctl restart docker

4、客户端使用说明

  • 进入 /etc/docker 目录,拷贝ca.pem、ca-key.pem、cert.pem、key.pem四个文件到客户端应用服务器
  • 获取客户端服务器中上述四个文件的目录地址(连接docker engine时使用)
  • 使用docker-java(com.github.docker-java)连接docker engine,如下图所示:
    在这里插入图片描述

图中 Docker TLS文件路径即获取的目录地址

FlonChou
关注
专栏目录
Docker - 通过脚本自动创建 Docker TLS 证书
简简单单Onlinezuozuo
10-16 4698
文章目录Docker - 通过脚本自动创建 Docker TLS 证书1、具体脚本2、修改配置为自己的配置3、客户端证书下载 Docker - 通过脚本自动创建 Docker TLS 证书 1、具体脚本 通过脚本一键生成Docker TLS证书 #!/bin/bash # ------------------------------------------------------------...
通信安全—docker建立客户端与服务端TLS证书连接
清晨@暖阳
08-08 898
通信安全—docker建立客户端与服务端TLS证书连接一、TLS证书的作用二、创建证书1、创建目录2、创建私钥3、创建证书4、创建扩展配置文件三、签署证书四、Docker中配置TLS证书五、测试 一、TLS证书的作用 在远程上调用Docker时,若没有设置TLS证书,那么docker能被所有人调用,而TLS的作用就是限制指定的主机对Docker进行远程调用,从而保证docker的安全。 二、创建证书 使用openssl来创建CA,并签署秘钥/证书。 1、创建目录 首先创建一个certs目录,并
Docker暴露2375端口导致服务器被攻击问题及解决方法
01-20
相信了解过docker remote API的同学对2375端口都不陌生了,2375是docker远程操控的默认端口,通过这个端口可以直接对远程的docker daemon进行操作。 当$HOST主机以docker daemon -H=0.0.0.0:2375方式启动daemon时,可以在外部机器对$HOST的docker daemon进行直接操作: docker -H tcp://$HOST:2375 ps 好,说说如何“入侵”,怎么通过这个端口入侵宿主机呢? 这个应该要从几个点说起吧: 1. docker对user namespace没有做隔离,也就是说,容器内部的root用户就是宿主机
Docker(十二)2375的血泪
wzj_110的博客
09-28 1356
记录一年前'百度云的docker服务器'被'挖矿' 一 docker的远程连接 docker remote API --> 2375是docker远程操控的'默认端口' 场景: 为了'方便IDEA调试','未经过TLS加密'-->没有'设置CA证书',通过'2375端口'可以'直接对远程的docker daemon进行操作,导致'被黑' 配置 '注意:服务侧关闭firewalld和selinux' --> systemctl stop firewa...
Docker 2375 端口入侵服务器,部分解决方案
十年呵护的专栏
07-01 2025
docker remote API的同学对2375端口入侵服务器 2375->上传镜像-》获取控制权-》ssh pub key 注入-》登入服务器 核心总结: 1.禁用2375 2.创建linux新用户 3.禁止root远程登录 4.卸载重新安装docker,并删除之前的文件 5.禁止外网 一、创建新用户以及授权 创建用户 adduser limp用户名 更改密码 passwd limp用户名 方法:修改 /etc/passwd 文件,找到如下行,把用户I...
Docker启用TLS加密解决暴露2375端口引发的安全漏洞
花花世界芸芸众生的博客
12-23 615
转载:https://www.cnblogs.com/haoxianrui/p/14095306.html 参考:https://docs.docker.com/engine/security/https
docker设置TLS,保证端口2375的安全连接。亲测可用~
qq971473597的博客
07-31 1617
前提:登录服务器,创建一个保存证书的文件夹。 我的路径是 /home/bright/ca 1.生成私有和公有秘钥 1.1 输入命令 openssl genrsa -aes256 -out ca-key.pem 4096 会有提示:Enter pass phrase for ca-key.pem: 输入,并记住这个ca-key密码! 1.2 输入命令 openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem 会有提示:Ente
Docker启用TLS实现安全配置的步骤
09-29
2. **生成TLS证书和密钥** 在Docker服务器上,首先需要创建一个自签名的根证书颁发机构(CA)。这可以通过`openssl`命令行工具完成: - 使用`openssl genrsa`生成一个4096位的AES256加密的私钥(`ca-key.pem`)。 ...
Docker-TLS详解
繁星若渺的博客
03-17 1517
目录一、Docker 存在的安全问题1.1、Docker 自身漏洞1.2、Docker 源码问题1.3、Docker 架构缺陷与安全机制1.3.1、容器之间的局域网攻击1.3.2、DDoS 攻击耗尽资源1.3.3、有漏洞的系统调用1.3.4、共享root用户权限1.4、Docker 安全基线标准1.4.1、内核级别1.4.2、主机级别1.4.3、网络级别1.4.4、镜像级别1.4.5、容器级别1.4.6、其他设置1.5、容器最小化1.6、Docker remote api 访问控制1.6.1、示例1.6.1
docker部署rancher证书过期问题解决方案
04-24
更新Rancher的证书,通常需要通过Rancher UI或者API进行,或者在Kubernetes集群中创建新的TLS证书。具体的步骤取决于你的Rancher版本和部署环境。 6. **重启Rancher服务** 完成证书更新后,使用`docker restart ...
docker设置端口2375
AAAAAxiaobai的博客
10-13 2377
【代码】docker设置端口2375。
docker开放2375端口,并添加安全传输层协议(TLS)和CA认证
热门推荐
honvin的博客
08-17 1万+
为了更便捷地打包和部署,服务器需要开放2375端口才能连接docker,但如果开放了端口没有做任何安全保护,会引起安全漏洞,被人入侵、挖矿、CPU飙升这些情况都有发生,任何知道你IP的人,都可以管理这台主机上的容器和镜像,真的可怕。 为了解决安全问题,只要使用安全传输层协议(TLS)进行传输并使用CA认证即可。 制作证书及秘钥 我们需要使用OpenSSL制作CA机构证书、服务端证书和客户端证书,以下操作均在安装Docker的Linux服务器上进行。 创建一个目录用于存储生成的证书和秘钥 mkdir
Docker实战 | 第五篇:Docker启用TLS加密解决暴露2375端口引发的安全漏洞,被黑掉三台云主机的教训总结
舞鹤白沙编码日志
10-04 1377
一. 前言 文末有惊喜!!希望会对您有帮助~ 在之前的文章中 IDEA集成Docker插件实现一键自动打包部署微服务项目,其中开放了服务器2375端口监听,此做法却引发出来一个安全问题,在上篇文章评论也有好心的童鞋提示,但自己心存侥幸心理,以为争取时间就没问题。 想知道为什么暴露2375不安全看一下大佬的具体操作 传送门。 写这篇时候自己开放2375端口的3台云服务器中招了,两台阿里云服务器root账号被劫权,root这个超级用户俨然已成为傀儡皇帝,有名无权,还有一台ucloud服务器被挖矿内存被打满。.
docker开放2375端口设置TLS和CA认证
感谢关注点赞,笔芯啾咪!
03-15 1064
需求:最近要使用idea的docker插件来实现持续集成和部署运行的功能,就在服务器开放了2375端口,但是后续问题就来了,2375没有任何的保护措施,只要知道服务器ip就可以操控镜像和容器,后续服务器就被各种挖矿程序植入,导致内存和cpu爆满,所以为了解决这个安全问题,做了TLS和CA认证。 1.在服务器创建CA文件目录(自己指定,后续所有操作都在必须此目录下进行) mkdir /salong/docker-ca cd /salong/docker-ca 2.创建CA证书私钥,期间需要输入.
Ubuntu Docker 开启2375端口 【手把手教程】
众纳百川的博客
10-20 1724
由于Docker 配置文件是在系统目录并且为只读,所以需要为Ubuntu 配置一个菜单插件用于右键打开文件时能显示“以管理员身份打开”功能,如下图。1.以管理员身份打开对应Docker配置文件:/lib/systemd/system下。开发环境下可以通过此端口直接向部署有Docker的那个服务器直接推送程序。2.Ubuntu 系统升级Docker后(升级后会自动重置配置信息)1.操作系统安装完Docker后。3.再次测试是否可以正常连接。什么情况下需要如此操作?打开终端,运行如下命令。
Docker暴露2375端口导致服务器被攻击解决方法!
欢迎来到「小菠萝」的博客
02-25 8294
相信了解过docker remote API的同学对2375端口都不陌生了,2375是docker远程操控的默认端口,通过这个端口可以直接对远程的docker daemon进行操作。 当$HOST主机以docker daemon -H=0.0.0.0:2375方式启动daemon时,可以在外部机器对$HOST的docker daemon进行直接操作: docker -H tcp://$HOS...
centos7 docker开启认证的远程端口2376配置
最新发布
J_Lee
11-24 1169
centos7 docker开启认证的远程端口2376配置
Docker开启Remote API 访问 2375端口
weixin_30471561的博客
09-12 379
Docker常见端口 我看到的常见docker端口包括: 2375:未加密的docker socket,远程root无密码访问主机 2376:tls加密套接字,很可能这是您的CI服务器4243端口作为https 443端口的修改 2377:群集模式套接字,适用于群集管理器,不适用于docker客户端 5000:docker注册服务 4789和7946:覆盖网络 开启配置 方法一 首先...
DockerTLS配置文档
08-12
您好!以下是DockerTLS配置文档: ...通过使用TLS证书和密钥,您可以保护Docker守护进程和与之通信的客户端之间的通信安全性。请确保妥善保管生成的证书和密钥文件,并仅将其提供给受信任的实体。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FlonChou

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值