docker_tls配置

最新推荐文章于 2024-04-01 14:29:50 发布
最新推荐文章于 2024-04-01 14:29:50 发布
阅读量436 收藏
点赞数
文章标签: docker 容器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50668398/article/details/129723633
版权
该文指导如何修改Docker服务启动配置以启用TLS加密,包括添加启动参数并生成必要的TLS证书。通过执行提供的bash脚本`tls.sh`,可以创建用于服务器和客户端的身份验证证书,并将它们放置在正确的位置。最后,使用`systemctl`命令重新加载和重启Docker服务以应用更改。文章还提供了一个测试命令来验证Docker端口是否已成功开启并接受TLS连接。
摘要由CSDN通过智能技术生成

docker 配置tls加密的tcp远程连接

修改docker启动配置,启动参数加上这些 vi /lib/systemd/system/docker.service

ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock

执行生成证书脚本 vi tls.sh 证书生成路径/etc/docker/ca/

#创建 Docker TLS 证书    
#!/bin/bash
 

SERVER="0.0.0.0"  #需要修改为本机ip
PASSWORD="keyunitor"
COUNTRY="CN"
STATE="shanghai"
CITY="shanghai"
ORGANIZATION="Dev"
ORGANIZATIONAL_UNIT="Dev"
EMAIL="test@xxx.com"

#临时文件夹
TEMP_DIR='/etc/docker/ca'

mkdir -p ${TEMP_DIR}
cd ${TEMP_DIR}

#生成`ca-key.pem` 文件 设置密码
openssl genrsa -aes256 -passout pass:${PASSWORD} -out ca-key.pem 4096 
echo "生成ca私钥完成"


#生成 `ca.pem` 文件,设置国家、省市、组织名、邮箱

openssl req -new -x509  -passin "pass:${PASSWORD}"  -days 3650 -key ca-key.pem -sha256 -out ca.pem -subj "/C=${COUNTRY}/ST=${STATE}/L=${CITY}/O=${ORGANIZATION}/OU=${ORGANIZATIONAL_UNIT}/emailAddress=${EMAIL}"
echo "填写配置信息完成"

#生成 `server-key.pem` 文件

openssl genrsa -out server-key.pem 4096

#生成 `server.csr` 文件

openssl req -subj "/CN=${SERVER}" -sha256 -new -key server-key.pem -out server.csr

#生成配置文件 `extfile.cnf` 

echo subjectAltName = IP:${SERVER},IP:0.0.0.0 > extfile.cnf

echo extendedKeyUsage = serverAuth >> extfile.cnf

#生成服务器证书,需要输入之前输入的密码
openssl x509 -req -days 3650 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem  -passin "pass:${PASSWORD}"  \-CAcreateserial -out server-cert.pem -extfile extfile.cnf

echo "生成自签证书完成"

#添加配置,使密钥适合客户端身份验证
echo extendedKeyUsage = clientAuth >> extfile.cnf
#生成 `key.pem` 文件
openssl genrsa -out key.pem 4096
#创建`client.csr`文件
openssl req -subj '/CN=client' -new -key key.pem -out client.csr
#生成证书
openssl x509 -req -days 3650 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -passin "pass:${PASSWORD}" \-CAcreateserial -out cert.pem -extfile extfile.cnf
echo "生成client自签证书完成"
rm -v -f client.csr server.csr
chmod -v 0400 ca-key.pem key.pem server-key.pem
chmod -v 0444 ca.pem server-cert.pem cert.pem
echo "复制证书到指定目录"
cp server-*.pem  /etc/docker/
cp ca.pem /etc/docker/

systemctl daemon-reload 
systemctl restart docker

执行脚本

  sh tls.sh

脚本预写,可不执行 重启docker服务

systemctl daemon-reload
systemctl restart docker

通过docker命令行测试端口开放是否成功 ps:如0.0.0.0运行失败换成本机ip

cd /etc/docker/ca/
docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H=0.0.0.0:2375 version


结果:

Client: Docker Engine - Community
 Version:           20.10.17
 API version:       1.41
 Go version:        go1.17.11
 Git commit:        100c701
 Built:             Mon Jun  6 23:05:12 2022
 OS/Arch:           linux/amd64
 Context:           default
 Experimental:      true

Server: Docker Engine - Community
 Engine:
  Version:          20.10.17
  API version:      1.41 (minimum version 1.12)
  Go version:       go1.17.11
  Git commit:       a89b842
  Built:            Mon Jun  6 23:03:33 2022
  OS/Arch:          linux/amd64
  Experimental:     false
 containerd:
  Version:          1.6.6
  GitCommit:        10c12954828e7c7c9b6e0ea9b0c02b01407d3ae1
 runc:
  Version:          1.1.2
  GitCommit:        v1.1.2-0-ga916309
 docker-init:
  Version:          0.19.0
  GitCommit:        de40ad0
仙桃_马东锡
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
docker swarm集群TLS配置
jimmyxian的博客
07-20 2985
声明: 本博客欢迎转发,但请保留原作者信息! 博客地址:http://blog.csdn.net/jimmyxian 新浪微博:@线超博内容系本人学习、研究和总结,如有雷同,实属荣幸!================================docker swarm集群TLS配置为了保证swarm集群的通信安全,可采用TLS协议进行加密传输,如下所示。 本例中,采用4个c
Docker TLS配置
fuzhaohui202的专栏
08-28 1868
公司最近采用了Spring Boot架构以Docker容器服务作为载体给客户提供服务,但是最近碰到一个严重的安全问题,这也是这几个月来一直忙碌更换新的架构而忽视的安全问题,但是最近随着产品上线客户的使用安全问题被赤裸裸的暴露出来,好在Docker提供了证书安全保护方案,下面就来讲一下配置与采过的坑(其中命令都是官网提供,具体意义请查询官网https://docs.docker.com/engi...
Docker开启TLS认证
qq_35156626的博客
12-21 720
修复Docker远程API调用漏洞,启用TLS认证
Docker 配置 TLS
贝克街的流浪猫
04-03 1042
引言 Docker 默认通过 Unix Socket 对外提供接口,也支持 HTTP 的方式,后者允许我们能够在本地控制远程服务器中的 Docker。如果你想让远程服务器中的 Docker 以安全的方式被访问,可为其配置 TLS,做到服务端和客户端的双向验证。本文由我的同事 @like 投稿,其中总结了他在配置 Docker TLS 过程中的实践经验。 安装 cfssl 这里我们使用 CloudFlare 的 PKI 工具集 cfssl 来创建证书。 安装 cfssl、cfssljson 以及 cfssl
docker配置tls (一) 2376安全配置
lanwp5302的博客
04-17 5168
一、官方资料 官网资料 https://docs.docker.com/engine/reference/commandline/dockerd/ 创建证书步骤 官网Protect the Docker daemon socket https://docs.docker.com/engine/security/https/ 二、创建证书 生成的证书 ca-key.pem ca.pem ...
Docker配置TLS加密,IDEA远程连接Docker
wqs229342的博客
06-27 416
使用 OpenSSL创建 CA、服务器和客户端密钥(提供一键生成脚本),轻松使用IDEA远程Docker
Docker启用TLS实现安全配置的步骤
09-29
同时,确保客户端Docker配置也开启TLS验证。 6. **测试连接** 确认Docker守护进程已成功启用TLS并可安全访问,可以尝试运行一个简单的Docker命令,如`docker info`。如果配置正确,命令应该能够正常执行,表明TLS...
docker_log_redirect
04-01
所有配置都是通过一个简单易用的YAML配置文件进行设置的,并且您可以根据需要集中添加尽可能多的Docker容器日志重定向条目。 无需修改您的Docker容器配置。 如果您想对这些集中的docker日志发出警报,请查看...
CIS_Docker_Benchmark_v1.2.0.pdf
02-25
- **为Docker守护进程配置TLS认证**:使用传输层安全性(TLS)可确保Docker守护进程通信的加密。 6. **非评分项**:文档中有些配置项并未纳入评分,这可能是由于这些配置项在不同环境下可能有不同需求,或者是由于...
Centos Docker1.12 远程Rest api访问的配置方法
09-30
在CentOS 7中,Docker 1.12版本,可以通过配置开启远程REST API访问来实现这一功能。下面将详细介绍如何配置CentOS Docker 1.12以允许远程REST API访问。 首先,Docker默认使用Unix套接字(socket)与守护进程通信...
centos7为docker配置远程TLS验证,端口设定为2376
bc_aptx4869的博客
07-11 5097
dockerTLS,docker远程访问.
docker开启TLS远程连接
mxrain的博客
06-21 481
最近在研究cicd jenkins 需要连接阿里云服务器的docker 2375端口, 这里用TLS方式连接docker服务 一、制作证书(docker服务的机器) 建立证书存放位置 创建CA证书私钥 创建服务端私钥 创建服务端证书签名请求文件,用于CA证书给服务端证书签名。IP需要换成自己服务器的IP地址,或者域名都可以。生成文件server.csr 配置白名单,用多个用逗号隔开,例如: IP:192.168.3.171,IP:0.0.0.0,这里需要注意,虽然0.0.0.0
CoreOS配置Docker API TLS认证
weixin_33722405的博客
07-31 141
为什么80%的码农都做不了架构师?>>> ...
使用TLS加密Docker的API
qq_32506555的博客
10-17 961
在学习Docker 的时候,我们都知道通常使用Docker,是使用docker客户端通过本地的socket与本地的docker服务端交互。当我们想通过TCP端口将docker服务器开放到网络上,同时只有信任的客户端可以连接时,就需要通过创建密钥并且分发给信任的客户端来实现。 通过创建自签名的证书文件,并且运行Docker daemon时使用了–tls-verify命令行选项,则docker服务器
Docker基础系列之TLS和CA认证
最新发布
囚徒之困
04-01 1337
Docker TLS和CA认证
ECS中Docker配置TLS和idea链接dokcer实践
jhyfugug的博客
11-03 287
Jmeter+influxdb+Grafana+Docker 初步实践
完蛋,我被挖矿木马包围了|使用 TLS 连接 Docker
qq_41468830的博客
01-09 940
近日,白泽在使用 docker 的时候,开放了防火墙的端口,以 SSH 方式访问远程服务器的 docker 守护进程(无需使用密钥即可建立连接),随后竟遭到了挖矿木马的攻击!
实战「 docker TLS加密通讯 」
多一份贡献,多一份环保
07-08 8110
快速配置一个最简单的docker TLS加密通讯使用说明演示环境(centos7,docker17.06.0-ce)创建一个文件夹mkdir /ssl创建ca密钥openssl genrsa -aes256 -out ca-key.pem 4096创建ca证书openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*"
Docker存在的安全问题,如何解决?
weixin_42449832的博客
03-17 1434
文章目录一、Docker 容器与虚拟机的详细区别二、Docker 存在的安全问题2.1 Docker 自身漏洞2.2 Docker 源码问题三、Docker 架构缺陷与安全机制四、Docker 安全基线标准4.1 内核级别4.2 主机级别4.3 网络级别4.4 镜像级别4.5 容器级别4.6 其他设置五、Docker 远程调用与流量限制5.1 Docker remote api 访问控制5.2 限制流量流向六、容器最小化与镜像安全6.1 容器最小化6.2 镜像安全 一、Docker 容器与虚拟机的详细区别
DockerTLS配置文档
08-12
您好!以下是DockerTLS配置文档: 1. 首先,确保您已经安装了Docker。如果没有安装,请参考Docker官方文档进行安装。 2. 生成TLS证书和密钥: - 创建一个用于存储证书和密钥的目录,例如 `/etc/docker/certs.d`。 - 使用以下命令生成CA证书和私钥: ``` $ openssl genrsa -aes256 -out ca-key.pem 4096 $ openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem ``` - 使用以下命令生成服务器证书和私钥: ``` $ openssl genrsa -out server-key.pem 4096 ***.pem -out server.csr $ echo subjectAltName = IP:<your-server-ip>,IP:127.0.0.1 > extfile.cnf $ openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf ``` - 使用以下命令生成客户端证书和私钥: ``` $ openssl genrsa -out key.pem 4096 *** $ echo extendedKeyUsage = clientAuth > extfile-client.cnf $ openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile-client.cnf ``` 3. 配置Docker守护进程: - 编辑或创建 `/etc/docker/daemon.json` 文件,并添加以下内容: ``` { "tls": true, "tlscacert": "/etc/docker/certs.d/ca.pem", "tlscert": "/etc/docker/certs.d/server-cert.pem", "tlskey": "/etc/docker/certs.d/server-key.pem", "tlsverify": true } ``` - 重新启动Docker守护进程,使配置生效。 4. 配置Docker客户端: - 将客户端证书和密钥复制到客户端机器上的适当位置,例如 `/etc/docker/certs.d/client.pem` 和 `/etc/docker/certs.d/key.pem`。 - 设置环境变量 `DOCKER_TLS_VERIFY` 为 `1`。 - 设置环境变量 `DOCKER_CERT_PATH` 为证书和密钥的存储路径,例如 `/etc/docker/certs.d`。 现在,您已经完成了DockerTLS配置。通过使用TLS证书和密钥,您可以保护Docker守护进程和与之通信的客户端之间的通信安全性。请确保妥善保管生成的证书和密钥文件,并仅将其提供给受信任的实体。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值