1. 首頁 > 云知道 > >

Docker容器內加密通訊TLS的配置安裝方法,使用TLS加密通訊遠程連接Docker的示例詳解

云知道遠程連接

Docker容器內加密通訊TLS的配置安裝方法,使用TLS加密通訊遠程連接Docker的示例詳解
默認情況下,Docker 通過非聯網 UNIX 套接字運行 。它還可以使用 HTTP 套接字進行可選通信 。
如果需要以安全的方式通過網絡訪問 Docker,可以通過指定標志將 Docker 標志指向受信任的 CA 證書來啟用 TLS 。
在守護程序模式下,它只允許來自由該 CA 簽名的證書驗證的客戶端的連接 。在客戶端模式下,它僅連接到具有該 CA 簽名的證書的服務器 。
# 創建CA證書目錄[root@localhost ~]# mkdir tls[root@localhost ~]# cd tls/# 創建CA密鑰[root@localhost tls]# openssl genrsa -aes256 -out ca-key.pem 4096Generating RSA private key, 4096 bit long modulus..............................................................................++.....................................................................................................................................................................++e is 65537 (0x10001)Enter pass phrase for ca-key.pem:Verifying - Enter pass phrase for ca-key.pem:# 創建CA證書[root@localhost tls]# openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pemEnter pass phrase for ca-key.pem:[root@localhost tls]# ll總用量 8-rw-r--r--. 1 root root 3326 12月 3 17:20 ca-key.pem-rw-r--r--. 1 root root 1765 12月 3 19:03 ca.pem# 創建服務器私鑰[root@localhost tls]# openssl genrsa -out server-key.pem 4096Generating RSA private key, 4096 bit long modulus................................................................++..................++e is 65537 (0x10001)[root@localhost tls]# ll總用量 12-rw-r--r--. 1 root root 3326 12月 3 17:20 ca-key.pem-rw-r--r--. 1 root root 1765 12月 3 19:03 ca.pem-rw-r--r--. 1 root root 3243 12月 3 19:03 server-key.pem# 對私鑰進行簽名[root@localhost tls]# openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr[root@localhost tls]# ll總用量 16-rw-r--r--. 1 root root 3326 12月 3 17:20 ca-key.pem-rw-r--r--. 1 root root 1765 12月 3 19:03 ca.pem-rw-r--r--. 1 root root 1574 12月 3 19:04 server.csr-rw-r--r--. 1 root root 3243 12月 3 19:03 server-key.pem使用CA證書與私鑰簽名,輸入上面設置的密碼[root@localhost tls]# openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pemSignature oksubject=/CN=*Getting CA Private KeyEnter pass phrase for ca-key.pem:#生成客戶端密鑰[root@localhost tls]# openssl genrsa -out key.pem 4096Generating RSA private key, 4096 bit long modulus....................................................................................................................++.................................++e is 65537 (0x10001)#對客戶端簽名[root@localhost tls]# openssl req -subj "/CN=client" -new -key key.pem -out client.csr#創建配置文件[root@localhost tls]# echo extendedKeyUsage=clientAuth > extfile.cnf#簽名證書[root@localhost tls]# openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnfSignature oksubject=/CN=clientGetting CA Private KeyEnter pass phrase for ca-key.pem:[root@localhost tls]# ll總用量 40-rw-r--r--. 1 root root 3326 12月 3 17:20 ca-key.pem-rw-r--r--. 1 root root 1765 12月 3 19:03 ca.pem-rw-r--r--. 1 root root17 12月 3 19:35 ca.srl-rw-r--r--. 1 root root 1696 12月 3 19:35 cert.pem-rw-r--r--. 1 root root 1582 12月 3 19:29 client.csr-rw-r--r--. 1 root root28 12月 3 19:32 extfile.cnf-rw-r--r--. 1 root root 3243 12月 3 19:08 key.pem-rw-r--r--. 1 root root 1647 12月 3 19:08 server-cert.pem-rw-r--r--. 1 root root 1574 12月 3 19:04 server.csr-rw-r--r--. 1 root root 3243 12月 3 19:03 server-key.pem# 刪除多余文件[root@localhost tls]#在客戶端測試
[root@client ~]# docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 versionClient: Docker Engine - Community Version:19.03.13 API version:1.40 Go version:go1.13.15 Git commit:4484c46d9d Built:Wed Sep 16 17:03:45 2020 OS/Arch:linux/amd64 Experimental:falseServer: Docker Engine - Community Engine: Version:19.03.13 API version:1.40 (minimum version 1.12) Go version:go1.13.15 Git commit:4484c46d9d Built:Wed Sep 16 17:02:21 2020 OS/Arch:linux/amd64 Experimental:false containerd: Version:1.3.9 GitCommit:ea765aba0d05254012b0b9e595e995c09186427f runc: Version:1.0.0-rc10 GitCommit:dc9208a3303feef5b3839f4323d9beb36df0a9dd docker-init: Version:0.18.0 GitCommit:fec3683

推薦閱讀