使用TLS加密通讯远程连接Docker的示例详解_docker

来源:脚本之家  责任编辑:小易  

默认情况下,Docker 通过非联网 UNIX 套接字运行。它还可以使用 HTTP 套接字进行可选通信。
如果需要以安全的方式通过网络访问 Docker,可以通过指定标志将 Docker 标志指向受信任的 CA 证书来启用 TLS。
在守护程序模式下,它只允许来自由该 CA 签名的证书验证的客户端的连接。在客户端模式下,它仅连接到具有该 CA 签名的证书的服务器。

# 创建CA证书目录
[root@localhost ~]# mkdir tls
[root@localhost ~]# cd tls/
# 创建CA密钥
[root@localhost tls]# openssl genrsa -aes256 -out ca-key.pem 4096
Generating RSA private key, 4096 bit long modulus
..............................................................................++
.....................................................................................................................................................................++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem:
Verifying - Enter pass phrase for ca-key.pem:
# 创建CA证书
[root@localhost tls]# openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem
Enter pass phrase for ca-key.pem:
[root@localhost tls]# ll
总用量 8
-rw-r--r--. 1 root root 3326 12月 3 17:20 ca-key.pem
-rw-r--r--. 1 root root 1765 12月 3 19:03 ca.pem
# 创建服务器私钥
[root@localhost tls]# openssl genrsa -out server-key.pem 4096
Generating RSA private key, 4096 bit long modulus
................................................................++
..................++
e is 65537 (0x10001)
[root@localhost tls]# ll
总用量 12
-rw-r--r--. 1 root root 3326 12月 3 17:20 ca-key.pem
-rw-r--r--. 1 root root 1765 12月 3 19:03 ca.pem
-rw-r--r--. 1 root root 3243 12月 3 19:03 server-key.pem
# 对私钥进行签名
[root@localhost tls]# openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr
[root@localhost tls]# ll
总用量 16
-rw-r--r--. 1 root root 3326 12月 3 17:20 ca-key.pem
-rw-r--r--. 1 root root 1765 12月 3 19:03 ca.pem
-rw-r--r--. 1 root root 1574 12月 3 19:04 server.csr
-rw-r--r--. 1 root root 3243 12月 3 19:03 server-key.pem
使用CA证书与私钥签名,输入上面设置的密码
[root@localhost tls]# openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem
Signature ok
subject=/CN=*
Getting CA Private Key
Enter pass phrase for ca-key.pem:
#生成客户端密钥
[root@localhost tls]# openssl genrsa -out key.pem 4096
Generating RSA private key, 4096 bit long modulus
....................................................................................................................++
.................................++
e is 65537 (0x10001)
#对客户端签名
[root@localhost tls]# openssl req -subj "/CN=client" -new -key key.pem -out client.csr
#创建配置文件
[root@localhost tls]# echo extendedKeyUsage=clientAuth > extfile.cnf
#签名证书
[root@localhost tls]# openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
Signature ok
subject=/CN=client
Getting CA Private Key
Enter pass phrase for ca-key.pem:
[root@localhost tls]# ll
总用量 40
-rw-r--r--. 1 root root 3326 12月 3 17:20 ca-key.pem
-rw-r--r--. 1 root root 1765 12月 3 19:03 ca.pem
-rw-r--r--. 1 root root  17 12月 3 19:35 ca.srl
-rw-r--r--. 1 root root 1696 12月 3 19:35 cert.pem
-rw-r--r--. 1 root root 1582 12月 3 19:29 client.csr
-rw-r--r--. 1 root root  28 12月 3 19:32 extfile.cnf
-rw-r--r--. 1 root root 3243 12月 3 19:08 key.pem
-rw-r--r--. 1 root root 1647 12月 3 19:08 server-cert.pem
-rw-r--r--. 1 root root 1574 12月 3 19:04 server.csr
-rw-r--r--. 1 root root 3243 12月 3 19:03 server-key.pem
# 删除多余文件
[root@localhost tls]#

在客户端测试

[root@client ~]# docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version
Client: Docker Engine - Community
 Version:      19.03.13
 API version:    1.40
 Go version:    go1.13.15
 Git commit:    4484c46d9d
 Built:       Wed Sep 16 17:03:45 2020
 OS/Arch:      linux/amd64
 Experimental:   false

Server: Docker Engine - Community
 Engine:
 Version:     19.03.13
 API version:   1.40 (minimum version 1.12)
 Go version:    go1.13.15
 Git commit:    4484c46d9d
 Built:      Wed Sep 16 17:02:21 2020
 OS/Arch:     linux/amd64
 Experimental:   false
 containerd:
 Version:     1.3.9
 GitCommit:    ea765aba0d05254012b0b9e595e995c09186427f
 runc:
 Version:     1.0.0-rc10
 GitCommit:    dc9208a3303feef5b3839f4323d9beb36df0a9dd
 docker-init:
 Version:     0.18.0
 GitCommit:    fec3683

到此这篇关于使用TLS加密通讯远程连接Docker的示例详解的文章就介绍到这了,更多相关TLS加密远程连接Docker内容请搜索真格学网以前的文章或继续浏览下面的相关文章希望大家以后多多支持真格学网!

您可能感兴趣的文章:Docker启用TLS实现安全配置的步骤Docker容器间通讯直接路由方式实现网络通讯关于docker安全之Docker-TLS加密通讯问题

  • 本文相关:
  • 关于docker的15个小tip(技巧)
  • docker环境下数据库的备份(postgresql, mysql) 实例代码
  • 详解docker私有仓库registry的搭建验证
  • 利用docker-compsoe部署前后端分离的项目方法
  • docker创建镜像两种方法详解
  • docker centos7的系统上安装部署以及基础教程
  • docker实践--部署nodejs应用
  • 详解docker无法正常启动的原因及解决办法
  • 利用docker搭建web服务环境的方法步骤
  • docker v1.13.0 正式版发布
  • 如何使用 TLS/SSL 确保套接字连接的安全
  • 什么是SSL加密,什么是TLS加密
  • SSL2.0,TLS1.0什么什么的,这种选择有什么影响吗
  • IE高级设置里的使用TLS1.0,SSL2.0,SSL3.0是什么意思
  • SSL安全连接是什么意思?
  • 什么是TLS
  • 如何使用 TLS/SSL 保护 WebSocket 连线
  • 如何使用 TLS/SSL 保护 WebSocket 连线
  • 设置电子邮件中的SSL是什么
  • <首先请解雇失败了。下面的连接已经关闭:无法建立信任关系S...
  • 如何在SSL内加密任意TCP连接
  • TCP/TLS/UDP 有什么区别?
  • 什么是 SSL 和 TLS 协议?
  • 常见的几种SSL/TLS漏洞及攻击方式
  • javamail的tls和ssl方式是什么意思
  • ssl选 none跟选TLS或选SSL?有什么分别?
  • 什 么 是ssl,tls?两者有什 么 区别?
  • 网站首页网页制作脚本下载服务器操作系统网站运营平面设计媒体动画电脑基础硬件教程网络安全dockerhyper-vvmwarevirtualboxxenserverkvmqemuopenvzxencloudstackopenstack云计算技术云其它首页服务器云和虚拟化docker启用tls实现安全配置的步骤docker容器间通讯直接路由方式实现网络通讯关于docker安全之docker-tls加密通讯问题关于docker的15个小tip(技巧)docker环境下数据库的备份(postgresql, mysql) 实例代码详解docker私有仓库registry的搭建验证利用docker-compsoe部署前后端分离的项目方法docker创建镜像两种方法详解docker centos7的系统上安装部署以及基础教程docker实践--部署nodejs应用详解docker无法正常启动的原因及解决办法利用docker搭建web服务环境的方法步骤docker v1.13.0 正式版发布docker 给运行中的容器设置端口映docker获取镜像报错docker: errodocker 清理命令集锦docker.service启动失败:unit nubuntu14.04+docker的安装及使用浅谈docker-compose网络设置之nedocker容器如何优雅的终止详解docker容器访问宿主机网络的方法详解docker国内镜像拉取和镜像加centos7 安装docker 解决启动不了docker compose 网络设置详解docker镜像无法上传的解决方法centos7中配置docker的yum源并安装使用详docker-compose部署配置jenkins的详细教程docker之修改/etc/default/docker 里的dodocker上传镜像至私有仓库的方法示例详解docker中容器的备份、恢复和迁移docker 安装nacos并配置数据库的教程详解docker-compose ports和expose的区别详解在ubuntu中安装docker教程
    免责声明 - 关于我们 - 联系我们 - 广告联系 - 友情链接 - 帮助中心 - 频道导航
    Copyright © 2017 www.zgxue.com All Rights Reserved