Docker容器内加密通讯TLS的配置安装方法,使用TLS加密通讯远程连接Docker的示例详解
默认情况下,Docker 通过非联网 UNIX 套接字运行 。它还可以使用 HTTP 套接字进行可选通信 。
如果需要以安全的方式通过网络访问 Docker,可以通过指定标志将 Docker 标志指向受信任的 CA 证书来启用 TLS 。
在守护程序模式下,它只允许来自由该 CA 签名的证书验证的客户端的连接 。在客户端模式下,它仅连接到具有该 CA 签名的证书的服务器 。
# 创建CA证书目录[root@localhost ~]# mkdir tls[root@localhost ~]# cd tls/# 创建CA密钥[root@localhost tls]# openssl genrsa -aes256 -out ca-key.pem 4096Generating RSA private key, 4096 bit long modulus..............................................................................++.....................................................................................................................................................................++e is 65537 (0x10001)Enter pass phrase for ca-key.pem:Verifying - Enter pass phrase for ca-key.pem:# 创建CA证书[root@localhost tls]# openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pemEnter pass phrase for ca-key.pem:[root@localhost tls]# ll总用量 8-rw-r--r--. 1 root root 3326 12月 3 17:20 ca-key.pem-rw-r--r--. 1 root root 1765 12月 3 19:03 ca.pem# 创建服务器私钥[root@localhost tls]# openssl genrsa -out server-key.pem 4096Generating RSA private key, 4096 bit long modulus................................................................++..................++e is 65537 (0x10001)[root@localhost tls]# ll总用量 12-rw-r--r--. 1 root root 3326 12月 3 17:20 ca-key.pem-rw-r--r--. 1 root root 1765 12月 3 19:03 ca.pem-rw-r--r--. 1 root root 3243 12月 3 19:03 server-key.pem# 对私钥进行签名[root@localhost tls]# openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr[root@localhost tls]# ll总用量 16-rw-r--r--. 1 root root 3326 12月 3 17:20 ca-key.pem-rw-r--r--. 1 root root 1765 12月 3 19:03 ca.pem-rw-r--r--. 1 root root 1574 12月 3 19:04 server.csr-rw-r--r--. 1 root root 3243 12月 3 19:03 server-key.pem使用CA证书与私钥签名,输入上面设置的密码[root@localhost tls]# openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pemSignature oksubject=/CN=*Getting CA Private KeyEnter pass phrase for ca-key.pem:#生成客户端密钥[root@localhost tls]# openssl genrsa -out key.pem 4096Generating RSA private key, 4096 bit long modulus....................................................................................................................++.................................++e is 65537 (0x10001)#对客户端签名[root@localhost tls]# openssl req -subj "/CN=client" -new -key key.pem -out client.csr#创建配置文件[root@localhost tls]# echo extendedKeyUsage=clientAuth > extfile.cnf#签名证书[root@localhost tls]# openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnfSignature oksubject=/CN=clientGetting CA Private KeyEnter pass phrase for ca-key.pem:[root@localhost tls]# ll总用量 40-rw-r--r--. 1 root root 3326 12月 3 17:20 ca-key.pem-rw-r--r--. 1 root root 1765 12月 3 19:03 ca.pem-rw-r--r--. 1 root root17 12月 3 19:35 ca.srl-rw-r--r--. 1 root root 1696 12月 3 19:35 cert.pem-rw-r--r--. 1 root root 1582 12月 3 19:29 client.csr-rw-r--r--. 1 root root28 12月 3 19:32 extfile.cnf-rw-r--r--. 1 root root 3243 12月 3 19:08 key.pem-rw-r--r--. 1 root root 1647 12月 3 19:08 server-cert.pem-rw-r--r--. 1 root root 1574 12月 3 19:04 server.csr-rw-r--r--. 1 root root 3243 12月 3 19:03 server-key.pem# 删除多余文件[root@localhost tls]#在客户端测试
[root@client ~]# docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 versionClient: Docker Engine - Community Version:19.03.13 API version:1.40 Go version:go1.13.15 Git commit:4484c46d9d Built:Wed Sep 16 17:03:45 2020 OS/Arch:linux/amd64 Experimental:falseServer: Docker Engine - Community Engine: Version:19.03.13 API version:1.40 (minimum version 1.12) Go version:go1.13.15 Git commit:4484c46d9d Built:Wed Sep 16 17:02:21 2020 OS/Arch:linux/amd64 Experimental:false containerd: Version:1.3.9 GitCommit:ea765aba0d05254012b0b9e595e995c09186427f runc: Version:1.0.0-rc10 GitCommit:dc9208a3303feef5b3839f4323d9beb36df0a9dd docker-init: Version:0.18.0 GitCommit:fec3683
推荐阅读
- 室内墙面有裂缝怎么处理
- Docker容器内部署事务服务Seata软件的安装教程,SEATA事务服务DOCKER部署的过程详解
- MongoDB数据库在容器Docker内的安装教程,Docker 部署 MongoDB容器的方法
- Docker容器内虚拟化环境jenkins+python3的搭建安装教程,使用Docker+jenkins+python3环境搭建超详细教程
- Linux系统container of函数内核编程的详细说明,linux内核编程container of()函数介绍
- Linux操作系统内CPU占用率居高不下的解决办法,linux下cpu飙高原因排查过程详解
- 越野皮卡什么车型比较好,十五万以内?
- 小米2a哪个系统版本占内存最低,占多少
- 内部处理机】荣耀手表,荣耀手表s1能解锁手机多少钱
- 曝腾讯大王卡内测无限流量套餐 腾讯大王卡可以办理几张