Docker ------ TLS 加密通讯

最新推荐文章于 2024-05-05 18:08:20 发布
置顶 最新推荐文章于 2024-05-05 18:08:20 发布
阅读量308 收藏 1
点赞数
分类专栏: docker 文章标签: TLS加密通讯
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45409371/article/details/103962568
版权

TLS 加密通讯:
为了防止链路劫持、会话劫持等问题导致 Docker 通信时被中间人攻击,C/S 两端应该通过加密方式通讯。

准备好两台虚拟机,各自安装好 docker,一台作为master、一台作为client:

masterclient
192.168.220.131192.168.220.140

第一步:首先修改好主机名

master修改如下:
[root@localhost ~]# hostnamectl set-hostname master
[root@localhost ~]# su

[root@master ~]# vim /etc/hosts
127.0.0.1  master


client修改如下:
[root@localhost ~]# hostnamectl set-hostname client
[root@localhost ~]# su

[root@client ~]# vim /etc/hosts
192.168.220.131 master

在这里插入图片描述
在这里插入图片描述
第二步:配置

[root@master ~]# mkdir /tls
[root@master ~]# cd /tls/

1、创建ca密钥:
[root@master tls]# openssl genrsa -aes256 -out ca-key.pem 4096
// aes:表示一个对称加密的一种形式
   out:表示输出
   .pem:表示一个证书

在这里插入图片描述

2、创建ca证书:
[root@master tls]# openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem
// -days 1000:有效期是1000天

在这里插入图片描述

3、创建服务器私钥:
[root@master tls]# openssl genrsa -out server-key.pem 4096

在这里插入图片描述

4、签名私钥:
[root@master tls]# openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr

在这里插入图片描述

5、使用ca证书与私钥证书签名,输入密码:
[root@master tls]# openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem

在这里插入图片描述

6、生成客户端密钥:
[root@master tls]# openssl genrsa -out key.pem 4096

在这里插入图片描述

7、签名客户端:
[root@master tls]# openssl req -subj "/CN=clinet" -new -key key.pem -out client.csr

在这里插入图片描述

8、创建配置文件:
[root@master tls]# echo extendedKeyUsage=clientAuth > extfile.cnf

在这里插入图片描述

9、签名证书,输入密码,需要(签名客户端,ca证书,ca密钥):
[root@master tls]# openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf

在这里插入图片描述

10、删除多余文件(这些都是制作的材料,后面就没有什么实际作用了):
[root@master tls]# rm -rf ca.srl client.csr extfile.cnf server.csr

在这里插入图片描述

11、配置docker
[root@master tls]# vim /lib/systemd/system/docker.service
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/tls/ca.pem --tlscert=/tls/server-cert.pem --tlskey=/tls/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock

//重启、重载进程:
[root@master tls]# systemctl daemon-reload 
[root@master tls]# systemctl restart docker

在这里插入图片描述
将 /tls/ca.pem 、/tls/cert.pem 、/tls/key.pem 这三个文件复制到另一台主机上:

scp ca.pem root@192.168.220.140:/etc/docker/
scp cert.pem root@192.168.220.140:/etc/docker/
scp key.pem root@192.168.220.140:/etc/docker/

在这里插入图片描述
客户端验证:

[root@client docker]# docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version

在这里插入图片描述
这样,两个节点之间的通讯,都会经过加密处理,这样有效的保证了 docker容器的安全。

Benny-文俊
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
docker——tls(ssl)加密通信
Yusheng9527的博客
03-16 1883
docker——tls(ssl)加密通信DockerClient端与DockerDaemon的通信安全(https证书)背景使用证书访问的工作流程部署思路证书创建过程环境准备创建一个存放目录生成ca证书1)创建ca私钥2)创建ca证书用ca证书签发server端证书1)创建服务器私钥2)生成证书签名请求文件(csr文件)3)使用ca证书与私钥证书签发服务端签名证书用ca证证书签发client端证书1)生成客户端私钥2)生成证书签名请求文件3)创建扩展配置文件,使秘钥适合客户端身份验证4)使用ca证书签发客户
关于docker安全之Docker-TLS加密通讯问题
01-20
一、docker存在的安全问题 docker自身漏洞 作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录Docker历史版本共有超过20项漏洞。黑客常用的攻击手段主要有代码执行、权限提升、 信息泄露、权限绕过等。目前 ...
Docker--TLS加密通讯详解
weixin_47153988的博客
09-27 251
文章目录一、Docker存在的安全问题二、TLS加密通讯三、TLS安全加密配置3.1 实验环境3.2 实验操作3.3 实验测试 一、Docker存在的安全问题 1、Docker 自身漏洞 作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录 Docker 历史版本共有超过20项漏洞。 黑客常用的攻击手段主要有代码执行、权限提升、信息泄露、权限绕过等。目前 Docker版本更迭非常快,Docker 用户最好将 Docker 升级为最新版本。 2、Docker 源码问题 Docker 提供了 Do
Docker远程访问安全问题与TLS配置并通过IDEA连接
最新发布
qq_52726195的博客
05-05 737
保存ca.pemcert.pem、key.pem、server-cert.pem、server-key.pem这五个文件,将ca.pem、server-cert.pem、server-key.pem保存至服务器自定义位置。将ca.pemcert.pem、key.pem下载保存到电脑,我保存在了D://Software/Docker/cert下。执行过程中要求输入pass phrase,输入一个自定义的密码即可,比如987654321,需要多次输入,保持一致即可。记得修改path为文件实际所在位置。
Docker存在的安全问题,如何解决?
weixin_42449832的博客
03-17 1333
文章目录一、Docker 容器与虚拟机的详细区别二、Docker 存在的安全问题2.1 Docker 自身漏洞2.2 Docker 源码问题三、Docker 架构缺陷与安全机制四、Docker 安全基线标准4.1 内核级别4.2 主机级别4.3 网络级别4.4 镜像级别4.5 容器级别4.6 其他设置五、Docker 远程调用与流量限制5.1 Docker remote api 访问控制5.2 限制流量流向六、容器最小化与镜像安全6.1 容器最小化6.2 镜像安全 一、Docker 容器与虚拟机的详细区别
Docker--TLS加密通讯部署
weixin_45693462的博客
04-29 284
什么是TLS加密TLS:传输层安全协议,是一种安全协议,目的是为互联网通信提供安全及数据完整性保障 TLS协议的优势是与高层的应用层协议(如HTTP、FTP、Telnet等)无耦合。应用层协议能透明地运行在TLS协议之上,由TLS协议进行创建加密通道需要的协商和认证。应用层协议传送的数据在通过TLS协议时都会被加密,从而保证通信的私密性 DockerTLS加密通讯配置 为了防止链路劫持、会话...
今天也来点DockerDocker-TLS加密通讯
糖球溜溜的博客
12-07 198
这里写目录标题一、TLS加密通讯的概述二、TLS加密通讯的部署2.1、搭建环境 一、TLS加密通讯的概述 用TLS加密通讯原因: 为了防止链路劫持、会话劫持等问题导致 Docker 通信时被中 间人攻击,c/s 两端应该通过加密方式通讯。 对称密钥,例如DES、3DES、AES,长度不同,长度越长安全越高,解密速度越慢。 非对称密钥,分为公钥和私钥,例如RSA 公钥:所有人可知(锁),私钥(钥匙)个人身份信息,不可抵赖。 封装在证书中:个人信息,密钥,有效期 二、TLS加密通讯的部署 2.1、搭建环境
docker-letsencrypt-nginx-proxy-companion:LetsEncrypt伴侣容器用于nginx-proxy
02-02
标题中的“docker-letsencrypt-nginx-proxy-companion”是一个开源项目,它专为与nginx-proxy容器协同工作设计,目的是为了方便地获取并自动更新Let's Encrypt的免费SSL/TLS证书。Let's Encrypt是一个非营利组织,...
Docker-Swarm(一)
07-23
Swarm 提供了内置的安全措施,如 TLS 加密通信,确保节点间的所有通信都是加密和安全的。此外,可以通过设置认证令牌来控制新节点加入集群,防止未经授权的访问。 ### 锁定 Swarm 为了防止未授权的修改,可以使用 `...
docker-compose-letsencrypt-nginx-proxy-companion:与letencrypt集成的自动化docker nginx代理
02-02
标题中的“docker-compose-letsencrypt-nginx-proxy-companion”是一个基于Docker Compose的解决方案,用于集成Let's Encrypt证书和Nginx代理。这个项目旨在自动化处理SSL/TLS证书的获取和更新,同时通过Nginx作为...
docker-mailserver:使用Docker的全栈但简单的邮件服务器(SMTP,IMAP,LDAP,反垃圾邮件,防病毒等)
02-02
配合SSL/TLS加密,确保数据传输安全。 3. **LDAP服务**:通过集成LDAP,可以集中管理用户账户和权限,方便扩展和备份。SASLauthd-ldap模块使得邮件服务器能利用LDAP进行用户身份验证。 4. **SSL/TLS**:使用Let's ...
docker 安全--TLS通讯加密
weixin_45691464的博客
04-28 165
Docker 存在的安全问题 1.Docker 自身漏洞 作为一款应用 Docker 本身实现上会有代码缺陷。CVE官方记录Docker历史版本共有超过20项漏洞。黑客常用的攻击手段主要有代码执行、权限提升、 信息泄露、权限绕过等。目前 Docker 版本更迭非常快,Docker 用户最好将 Docker 升级为 最新版本。 2.Docker 源码问题 Docker 提供了 Docker hub,...
docker】开启remote api访问,并使用TLS加密
weixin_30830327的博客
02-05 188
背景:   docker默认是能使用本地的socket进行管理,这个在集群中使用的时候很不方便,因为很多功能还是需要链接docker服务进行操作,docker默认也可以开启tcp访问,但是这就相当于把整个docker集群对外公开了,很不安全,需要假如TLS进行加密通信,操作如下: 1,TLS配置,生成key文件 #!/bin/bash openssl genrsa -aes256 -o...
Docker 使用TLS 认证远程访问
weixin_34204722的博客
06-04 536
2019独角兽企业重金招聘Python工程师标准>>> ...
ECS中Docker配置TLS和idea链接dokcer实践
jhyfugug的博客
11-03 261
Jmeter+influxdb+Grafana+Docker 初步实践
Docker远程访问控制的安全问题(Docker remote api 访问控制)以及Docker-TLS加密通讯 操作测试
weixin_50344807的博客
03-17 2018
文章目录Docker remote api 访问控制客户端操作实现远程调用Docker-TLS加密通讯客户端测试 环境: 名字 ip master 20.0.0.100 client 20.0.0.101 Docker remote api 访问控制 Docker的远程调用 API 接口存在未授权访问漏洞,至少应限制外网访问。建议使用 Socket 方式访问。 监听内网 ip,docker daemon 启动方式如下。 docker -d -H uninx:///var/run/do
Docker 配置 TLS
贝克街的流浪猫
04-03 1033
引言 Docker 默认通过 Unix Socket 对外提供接口,也支持 HTTP 的方式,后者允许我们能够在本地控制远程服务器中的 Docker。如果你想让远程服务器中的 Docker 以安全的方式被访问,可为其配置 TLS,做到服务端和客户端的双向验证。本文由我的同事 @like 投稿,其中总结了他在配置 Docker TLS 过程中的实践经验。 安装 cfssl 这里我们使用 CloudFlare 的 PKI 工具集 cfssl 来创建证书。 安装 cfssl、cfssljson 以及 cfssl
实战「 docker TLS加密通讯
多一份贡献,多一份环保
07-08 8102
快速配置一个最简单的docker TLS加密通讯使用说明演示环境(centos7,docker17.06.0-ce)创建一个文件夹mkdir /ssl创建ca密钥openssl genrsa -aes256 -out ca-key.pem 4096创建ca证书openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*"
docker -p 和nginx
07-15
使用 Nginx,你可以将多个后端服务进行负载均衡,并且能够提供静态文件服务、SSL/TLS 加密等功能。通过结合 Docker 和 Nginx,你可以将 Nginx 部署到容器中,并通过端口映射将主机上的请求转发到 Nginx 容器内部。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值