Idea整合Docker CA加密认证

最新推荐文章于 2022-07-22 15:15:05 发布
最新推荐文章于 2022-07-22 15:15:05 发布
阅读量866 收藏 5
点赞数
分类专栏: 服务器 文章标签: idea docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wenkezhuangyuan/article/details/119393557
版权

通过idea整合docker时,是允许所有人都可以访问的,因为docker默认是root权限的,把2375端口暴露在外面,意味着别人随时都可以提取到你服务器的root权限,是很容易被黑客黑的,因此,   docker官方推荐使用加密的tcp连接,以Https的方式与客户端建立连接。

官方示例Demo

https://docs.docker.com/engine/security/https/#create-a-ca-server-and-client-keys-with-openssl

Docker认证命令配置

1 创建ca文件夹,存放CA私钥和公钥

mkdir -p /usr/local/ca
cd /usr/local/ca/

2 生成CA私钥和公钥

在Docker守护进程的主机上,生成CA私钥和公钥:

openssl genrsa -aes256 -out ca-key.pem 4096

3 依次输入密码、国家、省、市、组织名称、邮箱等:

password cn nmg cf company email

 openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem

现在已经有了CA,接下来创建一个服务器密钥和证书签名请求(CSR)。确保“公用名”与你用来连接到Docker的主机名匹配

4 生成server-key.pem:

openssl genrsa -out server-key.pem 4096

5 CA来签署公钥:

由于TLS连接可以通过IP地址和DNS名称进行,所以在创建证书时需要指定IP地址。例如,允许使用10.10.10.20和127.0.0.1进行连接:

$Host换成你自己服务器外网的IP或者域名

openssl req -subj "/CN=$HOST" -sha256 -new -key server-key.pem -out server.csr
比如
openssl req -subj "/CN=192.168.20.135" -sha256 -new -key server-key.pem -out server.csr
或
openssl req -subj "/CN=www.javaqf.com" -sha256 -new -key server-key.pem -out server.csr
本地是局域网:
openssl req -subj "/CN=192.168.20.135" -sha256 -new -key server-key.pem -out server.csr

6 配置白名单:

1 允许指定ip可以连接到服务器的docker,可以配置ip,用逗号分隔开。

2 因为已经是ssl连接,所以我推荐配置0.0.0.0,也就是所有ip都可以连接(但只有拥有证书的才可以连接成功),这样配置好之后公司其他人也可以使用。

如果填写的是ip地址 命令如下  echo subjectAltName = IP:$HOST,IP:0.0.0.0 >> extfile.cnf
如果填写的是域名   命令如下  echo subjectAltName = DNS:$HOST,IP:0.0.0.0 >> extfile.cnf

上面的$Host依旧是你服务器外网的IP或者域名,请自行替换。

 echo subjectAltName = IP:192.168.20.135,IP:0.0.0.0 >> extfile.cnf

7 执行命令

将Docker守护程序密钥的扩展使用属性设置为仅用于服务器身份验证:

echo extendedKeyUsage = serverAuth >> extfile.cnf

8 生成签名证书

openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out server-cert.pem -extfile extfile.cnf

9 生成客户端的key.pem

 openssl genrsa -out key.pem 4096
 
 openssl req -subj '/CN=client' -new -key key.pem -out client.csr

10 要使密钥适合客户端身份验证

创建扩展配置文件:

echo extendedKeyUsage = clientAuth >> extfile.cnf
​
echo extendedKeyUsage = clientAuth > extfile-client.cnf

11 现在,生成签名证书:

openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out cert.pem -extfile extfile-client.cnf

生成cert.pem,需要输入前面设置的密码,

12 删除不需要的文件,两个证书签名请求

生成cert.pem和server-cert之后。您可以安全地删除两个证书签名请求和扩展配置文件:

rm -v client.csr server.csr extfile.cnf extfile-client.cnf

13 可修改权限

要保护您的密钥免受意外损坏,请删除其写入权限。要使它们只能被您读取,更改文件模式

chmod -v 0400 ca-key.pem key.pem server-key.pem

证书可以是对外可读的,删除写入权限以防止意外损坏

chmod -v 0444 ca.pem server-cert.pem cert.pem

14 归集服务器证书

cp server-*.pem  /etc/docker/
cp ca.pem /etc/docker/

15 修改Docker配置

使Docker守护程序仅接受来自提供CA信任的证书的客户端的连接

vim /lib/systemd/system/docker.service
​
将
ExecStart=/usr/bin/dockerd
替换为:
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/usr/local/ca/ca.pem --tlscert=/usr/local/ca/server-cert.pem --tlskey=/usr/local/ca/server-key.pem -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock
​

16 重新加载daemon并重启docker

systemctl daemon-reload 
​
systemctl restart docker

17 开放2375端口

/sbin/iptables -I INPUT -p tcp --dport 2375 -j ACCEPT

18 重启Docker

systemctl restart docker

IDEA操作Docker

  • 保存相关客户端的pem文件到本地

  •   IDEA CA配置

起个名字是真的南
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
docker证书文件生成+Idea使用证书连接docker
寂寞GOD的博客
08-12 769
docker开放端口后只要知道ip和端口号就可以随意管理镜像和容器非常不安全,生成环境中要使用证书来连接管理docker
docker5-idea整合 -CA认证1
08-03
1、Docker开启远程访问 2、IDEA安装Docker插件 3、IDEA配置docker 5、执行命令 6、IDEA 操作Docker 7、扩展配置
Idea+Docker+Ca证书打包
长安不及十里的博客
07-22 819
前言前端时间写了个demo,然后练习一下idea+docker进行打包,确实比较方便,但是没有运行几天,收到阿里云的短信通知,说我服务器挖矿,我靠,我是那种人吗?赶紧登上服务器看一了下,我靠服务器cpu直接拉满,靠,感觉查资料,原来是docker暴露的端口,导致挖矿病毒,后来我赶紧配置了个CA证书,集成Docker+Idea,......
花里胡哨的东西(二):IDEA集成Docker,通过CA认证方式安全链接到Docker,实现一键部署
weixin_51542566的博客
01-23 2893
花里胡哨的东西(一):IDEA集成Docker,通过CA认证方式安全链接到Docker,实现一键部署 一、CA认证 1、先在/usr/local目录下创建个文件夹,这里取名叫ca,然后进入ca文件夹中 mkdir -p /usr/local/ca cd /usr/local/ca 2、依次执行下面的命令,需要输入密码,自由指定,两次输入保持一致并记住即可.因为等下我们要用 openssl genrsa -aes256 -out ca-key.pem 4096 3、先输入上面设置的密码,然后根据提示分
花里胡哨的东西(一):IDEA集成Docker,通过CA认证方式安全链接到Docker,实现一键部署
weixin_51542566的博客
01-23 3376
一、Docker开启远程访问 1、修改配置 打开配置文件 vim /lib/systemd/system/docker.service 然后将 ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock 修改为 ExecStart=/usr/bin/dockerd -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock 2、修改保存后,重启Docker
idea集成docker插件并实现远端服务器CA证书访问
qq_41888048的博客
09-22 817
idea集成docker插件并实现远端服务器CA证书访问 参考官方教程及网上资料整理,有兴趣的可以直接移位官方 https://docs.docker.com/engine/security/https/#create-a-ca-server-and-client-keys-with-openss 首先 需要在服务器创建一个目录,比如/usr/local/docker/ca存放待会儿要生成的数据文件 1.生成CA私钥和公钥 openssl genrsa -aes256 -out ca-key.pem 409
docker5-idea整合 -CA认证(补充)1
08-04
1、Docker开启远程访问 2、IDEA安装Docker插件 3、IDEA配置docker 5、执行命令 6、IDEA 操作Docker 7、扩展配置
idea集成docker部署springboot项目
04-24
Idea 集成 Docker 部署 Spring Boot 项目 在本文中,我们将讨论如何使用 IntelliJ IDEA 集成 Docker 部署 Spring Boot 项目。该过程涉及到多个步骤,包括配置 Docker、编写 Dockerfile、在 IDEA 中连接服务器 ...
docker5-idea整合1
08-04
1、Docker开启远程访问 2、IDEA安装Docker插件 3、IDEA配置docker 5、执行命令 6、IDEA 操作Docker 7、扩展配置
idea配置docker部署
最新发布
08-04
dockerfile依赖的字体文件,解决验证码异常
idea集成docker通过CA加密认证
zhangr
09-26 274
创建证书 创建文件夹,这个是存放要生成的证书位置 mkdir -p /usr/local/ca 中间的一些生成过程已经写成shell文件点击下载 提取码:m5e4 把shell文件下载后存放到/usr/local/ca目录下,给shell文件赋权然后执行 chmod +x /usr/local/ca/*.sh ./create_tls_certs.sh 有个坑要注意,如果你在其他文本编辑器里编辑了create_tls_certs.sh,再上传到服务器,可能会出现特殊字符导致执行失败如下图,所..
Docker CA认证idea中使用
qq_46126559的博客
07-01 588
文章目录Docker CA认证创建ca文件夹,存放CA私钥和公钥创建密码依次输入密码、国家、省、市、组织名称等生成server-key.pem把下面的$Host换成你自己服务器外网的IP或者域名配置白名单如果你填写的是ip地址的话命令如下如果你填写的是域名的话命令如下执行命令,将Docker守护程序密钥的扩展使用属性设置为仅用于服务器身份验证执行命令,并输入之前设置的密码,生成签名证书生成客户端的key.pem,到时候把生成好的几个公钥私钥拷出去即可执行命令要使密钥适合客户端身份验证,请创建一个新的扩展配置
linux安装docker并实现idea使用证书加密连接
隐风的博客
12-12 4658
1、环境准备 2、docker安装步骤 3、证书生成
Docker(三)--Docker仓库--工作原理及私有仓库的搭建
qwerty1372431588的博客
01-26 341
Docker仓库1. 仓库简介2. docker hub2.1 概念2.2 搭建私有仓库2.2.1 注册docker hub账户2.2.2 上传镜像2.3 简单的本地仓库搭建3. Registry 工作原理 1. 仓库简介 - Docker 仓库是用来包含镜像的位置,Docker提供一个注册服务器(Register)来保存多个仓库,每个仓库又可以包含多个具备不同tag的镜像。 - Docker运行中使用的默认仓库是 Docker Hub 公共仓库。 2. docker hub 2.1 概念 - dock
将一个简单的python程序打包成加密docker镜像并对外提供接口
热门推荐
uncle_yiba的博客
04-23 2万+
环境:python2.7   docker:一、一个简单的python程序既然是一个简单的python程序,那我们就实现一个简单的加法功能即可。#coding=utf-8 import random def add(aStr,bStr):     map={}     try:         a=float(aStr)         b=float(bStr)         sum=a+...
idea java 代码混淆加密_idea java代码混淆_idea 环境下代码混淆打包
weixin_28999945的博客
02-23 464
#-------------------------3.与js互相调用的类------------------------#-------------------------4.反射相关的类和方法----------------------#-------------------------5.基本不用动区域--------------------------#指定代码的压缩级别-optimiza...
Docker】在IDEA中实现一键部署到服务器(附ssl连接加密)
老汉健身的博客
09-21 9298
近年来微服务可谓是火遍大江南北,随着业务的拆分和高可用和集群,服务变得越来越多,不再像原来的单体应用架构那样,部署只需要执行一条nohup java -jar xx.jar &就可以完成部署,如果在微服务里还是用这种方式完成部署的话那就太low太耗时间了,Docker的出现很好的解决了这个问题,可以说Docker和微服务是天生一对,用上Docker问题已经解决一大半了,但人是贪心的,总感觉...
docker的配置使用
公会驻地
07-17 152
相关链接 docker中文手册 Mac平台上Docker安装与使用(可用) 怎么注册一个docker id error: could not create ‘/Library/Python/2.7/site-packages/XXX’: Permission denied 可能是文件写入权限不过,需要加sudo,比如 sudo pip install flask 什么是...
docker 获取宿主机ip_Docker容器下怎样加密软件?来看硬件加密锁的方案
weixin_39827506的博客
11-28 492
Docker让开发者可以打包应用程序及依赖包到可移植的镜像中,然后发布到任何流行的Linux或Windows机器上,也可以实现虚拟化。许多开发者关心如何在Docker容器中实现软件加密及授权管理,CodeMeter将会是开发者的得力工具。CodeMeter是一款软件加密及授权管理综合解决方案,其最大优势是可以实现从Windows、Mac OS到Linux,从X86到嵌入式系统,从VmVare虚拟机...
idea整合docker
03-25
你可以使用 IntelliJ IDEA 来进行 Docker 整合,它提供了 Docker 插件来帮助你管理 Docker 容器和镜像。在安装插件后,你可以使用 Docker 工具窗口来控制 Docker,也可以使用 Dockerfile 来构建镜像。另外,IntelliJ IDEA 还支持在容器内运行应用程序并调试容器中的应用程序。你可以在 IntelliJ IDEA 的官方文档中找到更多关于 Docker 整合的信息和教程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

起个名字是真的南

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值