centos7上实现docker的安全访问-基于CA认证

最新推荐文章于 2024-04-29 17:23:55 发布
最新推荐文章于 2024-04-29 17:23:55 发布
阅读量1.7k 收藏 3
点赞数 2
分类专栏: docker 文章标签: docker CA idea https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wendrewshay/article/details/88255002
版权

docker-ce版本:18.09.3-rc1

由于在局域网内主机进行测试,IP为192.168.22.65,以下内容中可将所有此IP替换成自己的IP地址。

一、在docker守护进程的主机上

1、生成CA私钥文件ca-key.pem

$ openssl genrsa -aes256 -out ca-key.pem 4096

2、生成CA公钥文件ca.pem

$ openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem

3、基于CA文件生成server-key.pem文件

$ openssl genrsa -out server-key.pem 4096

4、基于server-key.pem文件生成server.csr文件

$ openssl req -subj "/CN=192.168.22.65" -sha256 -new -key server-key.pem -out server.csr

注意:生成过程中Common Name填写主机IP:192.168.22.65

5、输出subjectAltName属性到extfile.cnf文件

$ echo subjectAltName = DNS:$HOST,IP:10.10.10.20,IP:127.0.0.1 >> extfile.cnf

注意:TLS连接可以通过域名或IP建立,所以这里DNS:$HOST中的$HOST应填写你的域名。但我的需求是docker主机本机和客户端主机能够访问就可以了,所以我的输出命令是:

$ echo subjectAltName = IP:192.168.22.65,IP:0.0.0.0 >> extfile.cnf

6、输出extendedKeyUsage属性到extfile.cnf文件

$ echo extendedKeyUsage = serverAuth >> extfile.cnf

7、生成签名证书server-cert.pem文件

$ openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf

8、创建客户端私钥文件key.pem

$ openssl genrsa -out key.pem 4096

9、基于key.pem文件生成client.csr文件

$ openssl req -subj '/CN=client' -new -key key.pem -out client.csr

10、输出extendedKeyUsage属性到extfile-client.cnf文件

$ echo extendedKeyUsage = clientAuth > extfile-client.cnf

11、生成签名证书cert.pem文件

$ openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile-client.cnf

12、删除两个csr文件和extfile文件

$ rm -v client.csr server.csr extfile.cnf extfile-client.cnf

13、修改密钥文件权限为只允许所有者读取

$ chmod -v 0400 ca-key.pem key.pem server-key.pem

14、修改证书文件权限为只读

$ chmod -v 0444 ca.pem server-cert.pem cert.pem

15、将CA证书、服务端证书、服务端密钥文件拷贝到/etc/docker目录

$ cp -v ca.pem server-cert.pem server-key.pem /etc/docker

16、配置/etc/docker/daemon.json文件

{
 "tlsverify": true,
  "tlscacert": "/etc/docker/ca.pem",
  "tlscert": "/etc/docker/server-cert.pem",
  "tlskey": "/etc/docker/server-key.pem",
  "hosts": ["tcp://0.0.0.0:2376","unix:///var/run/docker.sock"],
  "registry-mirrors": ["https://docker.mirrors.ustc.edu.cn"]
}

17、将CA证书、客户端证书、客户端密钥文件拷贝到/root/.docker目录

$ cp -v ca.pem cert.pem key.pem /root/.docker

18、修改/lib/systemd/system/docker.service文件中的配置

ExecStart = /usr/bin/dockerd

19、将DOCKER_HOST和DOCKER_TLS_VERIFY变量写入/etc/profile文件

$ echo "export DOCKER_HOST=tcp://192.168.22.65:2376" >> /etc/profile
$ echo "export DOCKER_TLS_VERIFY=1" >> /etc/profile
$ source /etc/profile

20、重新加载配置并重启docker

$ systemctl daemon-reload && systemctl restart docker

21、验证docker进程是否正常启动

$ docker ps

二、windows客户端主机用idea远程连接docker服务器

1、同样将CA证书、客户端证书、客户端密钥文件拷贝到当前系统用户目录下的./docker文件夹

2、修改环境变量DOCKER_HOST和DOCKER_TLS_VERIFY

DOCKER_HOST= tcp://192.168.22.65:2376
DOCKER_TLS_VERIFY=1

3、修改idea中docker的连接信息,采用https协议连接成功即可

Neo_Gamer
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
CentOS7安装k8s-v1.13.4.docx
07-26
在CentOS 7上安装k8s v1.13.4涉及多个步骤,包括环境初始化、证书制作、配置组件和服务,以及验证安装。 **第一部分:环境初始化** **1. 环境准备:** 在开始安装之前,确保所有节点运行的是CentOS 7.6或更高版本...
搭建docker内网私服的方法(docker-registry with nginx&ssl on centos)
01-10
本文介绍了搭建docker内网私服的方法,分享给大家。具体如下: 主要思路: 1. Docker Registry 说明 关于如何创建和使用本地仓库,其实已经有很多...Docker仓库实际上提供两方面的功能,一个是镜像管理,一个是认
Docker开启并配置远程安全访问
Young_深情不及里子的博客
04-12 4761
在工作学习中,为了提高项目部署效率,一般会在Idea中直接使用Docker插件连接服务器Docker容器,然后将项目打包与DockerFile一起build成Docker镜像部署运行。但是不可能服务器总是跟着主机的,因此呢时常会面临的一个问题就是从A端访问B端服务器上的Docker从而引发的Docker的远程访问问题。因此在此总结一下Docker安全访问配置的过程,仅供学习参考!
docker远程连接证书生成步骤
hjg719的博客
09-26 1187
docker证书生成步骤
docker如何关闭证书认证
最新发布
liqinglonguo的博客
04-29 541
docker认证证书过期了,项目又要马上上线怎么办?重新生成证书,时间来不及,这时最快的方法就是关闭证书认证
如何开启Docker的远程访问
热门推荐
sg_knight的专栏
08-13 1万+
本文为转载文章,主要介绍如何开启docker的远程访问并通过idea进行远程操作。
OpenSSL自签发证书并实现浏览器的安全访问
xiaolong1155的博客
04-17 3152
前言 实现内网通过IP地址访问某系统,需要使用 https,而且不能有不安全的提示,如下图:不允许这样的情况存在,这就需要使用openssl进行自签解决。
Ext file 上传文件
王大林的专栏
12-27 734
实在不想自己再去实现一个这样的控件,网上查查结果发现这个控件也可以在textfield的基础上加点属性就可以搞定:new Ext.FormPanel({ bodyStyle : padding:5 0 0 16, width : 540, fileUpload : true, items : [{ xtype
AlpineLinux的Docker镜像docker-alpine.zip
07-19
centos latest 8efe422e6104 210 MBAlpine Linux 有更完整更新的索引:$ docker run progrium/busybox opkg-install nodejs Unknown package 'nodejs'. Collected errors: * opkg_install_cmd: ...
docker-20.10.6.tgz 安装包及安装命令、jdk8-Linux版本
12-02
Docker 是一个开源的应用容器引擎,它基于 Go 语言并遵循 Apache2.0 协议开源。Docker 可以让开发者打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。容器是...
linux-在raspberrypi3B上安装KubernetesDocker
08-13
sudo kubeadm join <master-ip>:6443 --token <token> --discovery-token-ca-cert-hash sha256: ``` 这里的`<master-ip>`是主节点的IP地址,`<token>`和`<hash>`从主节点的`kubeadm init`输出中获取。 至此,你已经...
Openssl v3证书 配置文件
shareinfo2018
09-17 1519
openssl
Docker7】Docker安全https安全认证
m0_71593537的博客
03-09 1251
Docker安全https安全认证
Docker( 八)docker安全以及安全加固
清风
08-09 7660
一.概念解释 二.系统基础安全实验 1.docker与系统共享内核并且会在宿主机上产生相应的进程 [root@server1 ~]# docker run -it --name vm1 ubuntu root@f1c5528bcddb:/# ls bin dev home lib64 mnt proc run srv tmp var boot etc lib medi...
docker设置tls加密远程访问
qq_38120778的博客
05-27 660
一、生成密钥 1、在Linux服务器上建一个目录,进入此目录,我这里是/root/docker 创建根证书RSA私钥: openssl genrsa -aes256 -out ca-key.pem 4096#输入密码 2、生成CA秘钥文件ca-key.pem; 以此秘钥创建CA证书,自己给自己签发证书,自己就是CA机构,也可以交给第三方机构去签发: openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca
Docker(一)----CentOS7安装Docker与测试
fendo
11-05 4009
一、安装docker   yum -y install docker-io 安装成功! 二、启动Docker     service docker start     ps -ef | grep docker ●加入开机启动      chkconfig docker on
Docker应用
学习笔记记录,欢迎批评指正!2023年4月1日起,将不在继续更新,后续笔记将同步至语雀笔记(https://www.yuque.com/javazhangjinhe)
10-07 465
Docker部署SpringBoot项目、IDEADockerDocker-Compose
二、安全传输层协议(TLS)解决Docker连接安全问题
weixin_44472746的博客
07-16 593
学习目标: 提示:这里可以添加学习目标 例如:一周掌握 Java 入门知识 学习内容: 提示:这里可以添加要学的内容 例如: 1、 搭建 Java 开发环境 2、 掌握 Java 基本语法 3、 掌握条件语句 4、 掌握循环语句 学习时间: 提示:这里可以添加计划学习的时间 例如: 1、 周一至周五晚上 7 点—晚上9点 2、 周六上午 9 点-上午 11 点 3、 周日下午 3 点-下午 6 点 学习产出: 提示:这里统计学习计划的总量 例如: 1、 技术笔记 2 遍 2、CSDN 技术博客 3 篇
Docker对外开放2375端口引发安全漏洞分析与解决方案
QT2016
07-03 9328
Docker对外开放2375端口引发安全漏洞分析与解决方案
#!/bin/bash #Author: 柠檬班可优 #Date: 2019-06-06 #install docker in ubuntu and centos function install_docker_in_ubuntu { sudo apt-get update -y # install some tools sudo apt-get install \ apt-transport-https \ ca-certificates \ curl \ gnupg-agent \ software-properties-common \ net-tools \ wget -y # install docker curl -fsSL get.docker.com -o get-docker.sh sh get-docker.sh # start docker service sudo groupadd docker &> /dev/null sudo gpasswd -a "${USER}" docker sudo systemctl start docker rm -rf get-docker.sh } function install_docker_in_centos { # install some tools sudo yum install -y git vim gcc glibc-static telnet bridge-utils # install docker curl -fsSL get.docker.com -o get-docker.sh sh get-docker.sh # start docker service sudo groupadd docker &> /dev/null sudo gpasswd -a "${USER}" docker sudo systemctl start docker rm -rf get-docker.sh } SYSTEM_NAME="$(awk -F= '/^NAME/{print $2}' /etc/os-release)" if [[ "${SYSTEM_NAME,,}" =~ "ubuntu" ]] ; then echo "Your system is ubuntu." echo "Installing Docker in ubuntu..." install_docker_in_ubuntu elif [[ "${SYSTEM_NAME,,}" =~ "centos" ]] ; then echo "Your system is centos." echo "Installing Docker in centos..." install_docker_in_centos else echo "This script can only run in ubuntu and centos system." exit 1 fi
06-06
这段代码的作用是在 Ubuntu 或者 CentOS 系统中安装 Docker。代码中定义了两个函数 `install_docker_in_ubuntu` 和 `install_docker_in_centos`,分别用来在 Ubuntu 和 CentOS 系统中安装 Docker。在主函数中,通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值