Docker通过SSL限制访问

最新推荐文章于 2025-03-17 16:31:20 发布
最新推荐文章于 2025-03-17 16:31:20 发布
阅读量2.8k 收藏 4
点赞数 2
分类专栏: 操作系统 文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ailian_f/article/details/105479821
版权

如果有人给你说需要配置docker的ssl,那么你需要知道的是,他是想限制docker的访问权限,还是需要给域名的ssl证书做配置,给域名对应的ssl证书做配置,可参考nginx容器的配置。

下面是给docker做访问权限,以方便开发人员在开发的过程中使用IDEA快速访问docker,并做到安全访问(通过HTTPS协议)

注意:最好先升级一下:yum install systemd-* -y,避免安装过程中的遇到各种坑

创建一个存放OpenSSL证书的文件夹存放公钥和秘钥,并进入

mkdir -p /usr/local/ca

cd /usr/local/ca/

1、新建一个目录,在目录执行以下命令,输入两次密码,需要记住后面会用到

openssl genrsa -aes256 -out ca-key.pem 4096

2、执行以下命令,输入密码,然后依次输入国家是 CN,省例如是Shanghai、市Shanghai、组织名称、组织单位、姓名或服务器名、邮件地址,都可以随意填写

openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem

3、执行生成服务器端key证书文件

openssl genrsa -out server-key.pem 4096

4、ip需要换成自己服务器的外网ip地址,或者域名都可以

openssl req -subj "/CN=16.21.2.234" -sha256 -new -key server-key.pem -out server.csr

5、配置白名单,多个用逗号隔开,例如: IP:10.211.55.10,IP:0.0.0.0,这里需要注意,虽然0.0.0.0可以匹配任意,但是仍然需要配置你的服务器外网ip,如果省略会造成错误

echo subjectAltName = IP:10.211.55.10,IP:0.0.0.0 >> extfile.cnf

6、把 extendedKeyUsage = serverAuth 键值设置到extfile.cnf文件里,限制扩展只能用在服务器认证

echo extendedKeyUsage = serverAuth >> extfile.cnf

7、执行以下命令,输入之前设置的密码,然后会生成签名的证书

openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \-CAcreateserial -out server-cert.pem -extfile extfile.cnf

8、生成例如idea等客户端需要用到的密钥文件

openssl genrsa -out key.pem 4096

9、生成客户端签名请求需要用到的临时文件

openssl req -subj '/CN=client' -new -key key.pem -out client.csr

10、继续设置证书扩展属性

echo extendedKeyUsage = clientAuth >> extfile.cnf

11、输入之前的密码生成认证证书,生成正式签名证书

openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \-CAcreateserial -out cert.pem -extfile extfile.cnf

12、删除生成的临时文件

rm -rf client.csr server.csr

13、修改证书为只读权限保证证书安全

chmod -v 0400 ca-key.pem key.pem server-key.pem

chmod -v 0444 ca.pem server-cert.pem cert.pem

14、复制服务端需要用到的证书到docker配置目录下便于识别使用:

cp server-cert.pem ca.pem server-key.pem /etc/docker/

15、修改docker配置

如果是离线手动安装的docker,通常情况下是这个文件:vim /etc/systemd/system/docker.service

在线安装:vim /usr/lib/systemd/system/docker.service

然后修改 ExecStart这一行的内容:

ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock 

16、如果是云服务器需要开启端口权限,开放防火墙的2376的端口,如果防火墙已经关闭,忽略此项

firewall-cmd --zone=public --add-port=2376/tcp --permanent

firewall-cmd --reload

17、重载服务并重启docker

systemctl daemon-reload && systemctl restart docker

18、保存证书客户端文件到本地ca.pem cert.pem key.pem

19、配置idea

点击idea第一行菜单 run 》edit configurations ,然后点击+号,添加docker配置,选择Dockerfile,

然后选择server属性,弹出docker server配置,

参考:https://blog.youkuaiyun.com/oceanyang520/article/details/101563309

Docker 开启SSL证书加密远程链接
ptxrq的博客
08-01 819
Docker 开启SSL证书加密远程链接
docker资源限制与compose
Drw_Dcm的博客
10-19 8236
docker资源限制与compose
『中级篇』docker之wordpress容器SSL(番外篇)(78)
IT架构圈博客
10-14 880
原创文章,欢迎转载。转载请注明:转载自IT人故事会,谢谢! 原文链接地址:『中级篇』docker之wordpress容器SSL(番外篇)(78) 搞了2天终于搞定了,现在分享给大家。 apache2 容器内安装SSL实现wordpress证书安装。 前提 『中级篇』docker容器安装wordpress(37) 通过上边的方式已经安装了wordpress 和mysql ,可以正常的访...
docker部署nginx,配置ssl,代理minio
最新发布
及丫丫
03-17 794
docker部署nginx,配置ssl,代理minio
基于Docker的nginx配置ssl使https访问
MacwinWin的博客
04-23 585
今天要把用docker+nginx+flask搭的服务部署到服务器上,供小程序使用,小程序只能使用https方式访问接口,故需要进行一些配置。全过程只需要配置nginx即可,flask不需要动。 容器必须把443端口打开 将ssl证书.key和.pem两个文件放入容器中可以通过docker cp命令或者挂载目录的方式; 将容器中的.key和.pem两个文件放在某目录下,比如 /etc/nginx/ssl 修改nginx配置文件 server { listen 443 ssl; ss
Docker服务器SSL远程连接
qq_23060921的博客
04-10 464
配合docker远程访问使用 将生成的server目录下的文件copy到/etc/docker 目录下。 修改文件 /lib/systemd/system/docker.service vim /lib/systemd/system/docker.service 将原来的: ExecStart=/usr/bin/dockerd -H fd:// 改为: ExecStart=/usr/bin/doc...
基于 Docker 安装 Nginx 搭建静态服务器,并配置 SSL 证书开启 HTTPS 访问
junkaione的博客
01-26 4119
在服务器使用中,使用nginx作为静态服务器是很常见的情况,该篇文章主要就是讲通过docker安装管理我们的nginx,并配置ssl证书来开启HTTPS访问
docker快速部署ES-SSL环境
baidu_38981831的博客
09-16 1422
使用docker快速部署Elasticsearch ssl 环境 一.前言 由于生产环境出于安全考虑,启用了Elasticsearch ssl 安全功能.为了开发测试最大程度与生产环境一致,并可以快速搭建.故有此文档帮助快速搭建Elasticsearch ssl 测试环境. 二.需要技术 docker基本命令操作 docker-compose基本命令操作 Elasticsearch简单操作 三.部署es集群容器 1.准备yaml文件elasticsearch-cloud-ssl.yml versi
docker部署Nginx,配置分发服务,配置ssl证书
2302_78765710的博客
04-22 927
到此部署完毕,实现效果就是访问www.xxxxxxxx.com/fuwu2 会跳转到指定服务器上,http请求会自动转成https请求。Nginx是一个高性能的开源Web服务器,也可以用作反向代理服务器、负载均衡器、HTTP缓存以及作为邮件代理服务器,功能强大!3、创建挂在文件夹(自定义,存放nginx配置文件的地方)将证书放到ssl文件夹 下的 certs文件夹下。ssl文件是配置ssl证书的地方(按需求使用)4、拷贝nginx容器内配置文件等到文件夹。2、初次启动镜像容器,准备拷贝容器内文件。
kartoza-docker-postgis,带postgis的postgresql13版本的docker镜像
09-18
可直接通过docker导入镜像命令导入。 一个简单的 Docker 容器,用于运行 PostGIS 访问Docker Hub 的页面:https://hub.docker.com/r/kartoza/postgis/ 这里有许多其他的 Docker PostGIS 容器。此容器的特点是: 开箱...
Docker安装SSL,获取密钥及证书
fhzhu830的博客
10-05 1900
之前弄的在Docker上安装SSL,然后生成密钥及证书的过程,下面记录一下。 (1)使用docker安装ssl,启动容器后,将证书密钥提取出来。 1)安装项目 https://github.com/daniftodi/rabbitmq-ssl-mng-docker 2)安装说明生成证书和密钥。 3)从docker中取出来。 (2)使用CMF-AMQP-Configuration-master项目生成证书以及密钥; (3)安装相关依赖包: yum install curl-devel exp
Docker 开启 SSL 验证
leikooo 的个人博客
05-23 1328
最近看 OJ 项目的远程开发阶段,然后踩坑踩了 2 天😂Docker版本:在CentOS安装版本:依赖
docker代理设置ssl证书_一文教您如何通过 Docker 搭建反向代理 Ngnix,并配置 Https SSL 证书...
weixin_39900582的博客
12-21 357
欢迎关注个人微信公众号: 小哈学Java, 每日推送 Java 领域干货文章,关注即免费无套路附送 100G 海量学习、面试资源哟!!一、背景小哈最近收到阿里云短信,提示个站 www.exception.site 的云盾 SSL 证书(Https 证书)即将到期,需要赶快续费,不然无法继续使用 Https 协议来访问网站!这个 SSL 证书当时用的是阿里云免费型的,有效期为 1 年,到期后, 如果...
docker——tls(ssl)加密通信
Yusheng9527的博客
03-16 2079
docker——tls(ssl)加密通信DockerClient端与DockerDaemon的通信安全(https证书)背景使用证书访问的工作流程部署思路证书创建过程环境准备创建一个存放目录生成ca证书1)创建ca私钥2)创建ca证书用ca证书签发server端证书1)创建服务器私钥2)生成证书签名请求文件(csr文件)3)使用ca证书与私钥证书签发服务端签名证书用ca证证书签发client端证书1)生成客户端私钥2)生成证书签名请求文件3)创建扩展配置文件,使秘钥适合客户端身份验证4)使用ca证书签发客户
Docker 容器内部无法访问外部域名解决方案
ttheng88的博客
11-16 2566
解决方法: CentOS防火墙的问题,需要允许NAT转发。 命令如下: firewall-cmd --zone=public --add-masquerade --permanent firewall-cmd --reload 最后重启docker即可 systemctl restart docker 参考:https://blog.youkuaiyun.com/vvfeng/article/details/104654375 ...
docker生成ssl证书(按步骤来即可,真实可用)
guochengabcd的博客
09-06 2380
docker生成证书
Docker 安全及日志管理(包含SSL证书)
heike_Ch的博客
08-30 1242
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
docker2375未授权访问漏洞
01-15
### Docker 2375端口未授权访问漏洞 #### 原因分析 Docker守护进程默认情况下会在TCP端口2375上提供远程API接口,如果此端口暴露于公共网络而没有适当的身份验证机制,则可能导致未经授权的用户能够连接到Docker引擎并执行各种操作。当配置不当或安全措施不足时,攻击者可以利用这一弱点来获取敏感信息甚至控制主机系统[^1]。 #### 影响范围 一旦存在这样的漏洞,潜在的影响非常严重。攻击者可以通过发送特定请求给目标服务器上的Docker服务来进行恶意活动,比如启动新的容器实例、下载镜像文件或是查看当前运行中的容器列表等。更糟糕的是,由于这些行为都是通过合法的服务通道完成的,因此很难被传统的防火墙所阻止。此外,对于那些启用了Swarm模式的环境来说,整个集群都可能受到威胁,因为管理节点之间的通信也是基于同样的API实现的[^2]。 #### 修复建议 为了防止此类安全隐患的发生,应当采取如下预防措施: - **启用TLS加密**:确保所有的API调用都被强制要求经过SSL/TLS协议传输,并且只接受来自已知客户端证书的连接尝试。 - **设置访问权限**:为不同的用户提供最小化的角色定义以及细粒度的操作许可策略;同时考虑部署额外的安全层如OAuth2.0或其他形式的身份认证框架。 - **限制公开暴露**:除非绝对必要,否则不应将Docker Engine监听地址绑定至外网可到达的位置。理想状态下应该仅限局域网内部机器间通讯或者借助反向代理等方式间接对外开放部分功能。 - **定期更新软件版本**:保持官方发布的最新稳定版安装包处于可用状态,及时修补已知缺陷以减少风险敞口。 ```bash # 修改docker.service文件中ExecStart参数添加选项-H unix:///var/run/docker.sock -H tcp://0.0.0.0:2376 --tlsverify --tlscacert=ca.pem --tlscert=server-cert.pem --tlskey=server-key.pem sudo systemctl daemon-reload && sudo systemctl restart docker ```
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值