docker配置tls (一) 2376安全配置

已于 2022-08-20 00:10:36 修改
阅读量5.3k 收藏 3
点赞数 1
CC 4.0 BY-SA版权
分类专栏: docker 文章标签: docker 安全 运维
于 2019-04-17 16:02:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lanwp5302/article/details/89358132
本文详细介绍了如何使用TLS安全连接配置Docker服务,包括生成证书、服务器和客户端配置步骤,以及通过Docker命令和curl进行测试的方法。

一、官方资料

  1. 官网资料
    https://docs.docker.com/engine/reference/commandline/dockerd/

  2. 创建证书步骤
    官网Protect the Docker daemon socket https://docs.docker.com/engine/security/https/

二、创建证书

生成的证书

ca-key.pem
ca.pem
cert.pem
key.pem
server-cert.pem
server-key.pem

服务器使用的证书
	ca.pem
	 server-cert.pem
	 server-key.pem 
	 
客户端使用
    cert.pem
    ca.pem
    key.pem

生成证书步骤

1.根证书

ca-key.pem

根证书秘钥

openssl genrsa -out  ca-key.pem 4096

ca.pem

生成根证书

openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem

-days 365 可以设置长的证书有效期,单位天

根据提示输入证书需要的信息

[root@localhost docker_ssl]# openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
Enter pass phrase for ca-key.pem:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:cn
State or Province Name (full name) []:
Locality Name (eg, city) [Default City]:
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:docker166
Email Address []:

2. 服务端证书

server-key.pem

$ openssl genrsa -out server-key.pem 4096

server.csr

生成server.csr,在生成server-cert.pem需要用到
/CN 一般为你的dns=docker166

$ openssl req -subj "/CN=$HOST" -sha256 -new -key server-key.pem -out server.csr

server-key.pem

openssl genrsa -out server-key.pem 4096

server-cert.pem

需要用到ca-key.pem的密码, subjectAltName

echo subjectAltName = DNS:docker166,IP:192.168.72.166,IP:127.0.0.1 >> extfile.cnf
echo extendedKeyUsage = serverAuth >> extfile.cnf
openssl x509 -req -days 36500 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem
-CAcreateserial -out server-cert.pem -extfile extfile.cnf

例子:

[root@localhost docker_ssl]# echo subjectAltName = DNS:docker166,IP:192.168.72.166,IP:127.0.0.1 >> extfile.cnf                
[root@localhost docker_ssl]# echo extendedKeyUsage = serverAuth >> extfile.cnf
[root@localhost docker_ssl]# cat extfile.cnf 
subjectAltName = DNS:docker166,IP:192.168.72.166,IP:127.0.0.1
extendedKeyUsage = serverAuth
[root@localhost docker_ssl]# openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \
>   -CAcreateserial -out server-cert.pem -extfile extfile.cnf
Signature ok
subject=/CN=ffcs-ark
Getting CA Private Key
Enter pass phrase for ca-key.pem:

subjectAltName为
[root@localhost .docker]# curl https://192.168.72.110:2376/images/json --cert ~/.docker/cert.pem --key ~/.docker/key.pem --cacert ~/.docker/ca.pem
curl: (51) Unable to communicate securely with peer: requested domain name does not match the server’s certificate.

3.客户端证书

key.pem
openssl genrsa -out key.pem 4096
cert.pem

days设置100年 -days 365修改为 -days 36500

openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out cert.pem -extfile extfile-client.cnf

例子,设置有效期为10年

openssl x509 -req -days 36500 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \
      -CAcreateserial -out cert.pem -extfile extfile-client.cnf

三、docker tls服务端配置

方式一:命令启动方式设置

dockerd --tlsverify --tlscacert=ca.pem --tlscert=server-cert.pem --tlskey=server-key.pem \
  -H=0.0.0.0:2376

证书放在默认目录下 ~/.docker/可以不输入证书

[root@localhost docker_ssl]# docker --tlsverify ps
error during connect: Get https://localhost:2376/v1.26/containers/json: x509: certificate is valid for docker166, not localhost
[root@localhost docker_ssl]# docker --tlsverify -H=127.0.0.1 ps
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES

方式二:配置文件配置

docker 1.13在 /etc/sysconfig/docker-network文件中设置, 配置https方式docker时必须同时开启2375和2376端口监听,http只开启一个端口即可

vi /etc/sysconfig/docker-network 修改文件网络配置

[root@localhost docker_ssl]# vi /etc/sysconfig/docker-network 
# /etc/sysconfig/docker-network
DOCKER_NETWORK_OPTIONS="--tlsverify --tlscacert=/root/.docker/ca.pem --tlscert=/root/.docker/server-cert.pem --tlskey=/root/.docker/server-key.pem -H=0.0.0.0:2376 -H=0.0.0.0:2375"

重启

systemctl daemon-reload  && systemctl restart docker

docker配置文件位置cat /usr/lib/systemd/system/docker.service

四、客户端请求测试

docker本机测试tls:

测试成功/root/.docker文件夹下已经存在证书。
docker --tls version 相当于
docker --tls --tlscacert /root/.docker/ca.pem --tlscert /root/.docker/cert.pem --tlskey /root/.docker/key.pem version

[root@localhost .docker]#  docker --tls version
Client:
 Version:         1.13.1
 API version:     1.26
 Package version: docker-1.13.1-88.git07f3374.el7.centos.x86_64
 Go version:      go1.9.4
 Git commit:      07f3374/1.13.1
 Built:           Fri Dec  7 16:13:51 2018
 OS/Arch:         linux/amd64

Server:
 Version:         1.13.1
 API version:     1.26 (minimum version 1.12)
 Package version: docker-1.13.1-88.git07f3374.el7.centos.x86_64
 Go version:      go1.9.4
 Git commit:      07f3374/1.13.1
 Built:           Fri Dec  7 16:13:51 2018
 OS/Arch:         linux/amd64
 Experimental:    false

相关的参数

Options:
      --config string      Location of client config files (default "/root/.docker")
      --tls                Use TLS; implied by --tlsverify
      --tlscacert string   Trust certs signed only by this CA (default "/root/.docker/ca.pem")
      --tlscert string     Path to TLS certificate file (default "/root/.docker/cert.pem")
      --tlskey string      Path to TLS key file (default "/root/.docker/key.pem")
      --tlsverify          Use TLS and verify the remote

docker -H远程请求

docker --tls -H 192.168.72.166 version

[root@docker110 ~]# docker --tls -H 192.168.72.166 version
Client:
 Version:         1.13.1
 API version:     1.26
 Package version: docker-1.13.1-88.git07f3374.el7.centos.x86_64
 Go version:      go1.10.3
 Git commit:      b2f74b2/1.13.1
 Built:           Tue Mar 12 10:27:24 2019
 OS/Arch:         linux/amd64

Server:
 Version:         1.13.1
 API version:     1.26 (minimum version 1.12)
 Package version: docker-1.13.1-88.git07f3374.el7.centos.x86_64
 Go version:      go1.9.4
 Git commit:      07f3374/1.13.1
 Built:           Fri Dec  7 16:13:51 2018
 OS/Arch:         linux/amd64
 Experimental:    false

DOCKER_CERT_PATH.
如下指定证书的默认目录

$ export DOCKER_CERT_PATH=~/.docker/zone1/
$ docker --tlsverify ps

curl方式

$ curl ${HOST} --cert ~/.docker/cert.pem --key ~/.docker/key.pem --cacert ~/.docker/ca.pem

例1:

curl https://192.168.72.166:2376/images/json --cert ~/.docker/cert.pem --key ~/.docker/key.pem --cacert ~/.docker/ca.pem  
[root@docker110 ~]#  curl https://192.168.72.166:2376/images/json --cert ~/.docker/cert.pem --key ~/.docker/key.pem --cacert ~/.docker/ca.pem  
[]

例2,多行命令:

[root@localhost docker_ssl]# curl https://192.168.72.166:2376/images/json \
> --cert ~/.docker/cert.pem \
> --key ~/.docker/key.pem \
> --cacert ~/.docker/ca.pem
[]

其他

  1. Docker 服务 TLS 证书全自动生成 https://segmentfault.com/a/1190000012510820
  2. docker使用OpenSSL的自颁发证书创建HTTPS仓库 https://www.jianshu.com/p/bfdf41a5d8fc
如何配置Docker守护进程的安全选项,比如启用TLS认证?
weixin_39291964的博客
07-20 40
Docker 守护进程安全配置指南摘要 本文详细介绍 Docker 守护进程的安全配置方案,重点包含 TLS 认证实现步骤。主要内容: 生成CA、服务器和客户端证书,配置加密通信 配置daemon.json启用TLS验证,限制监听端口 客户端环境变量设置及连接测试 其他安全措施:非root用户运行、网络访问限制、安全策略启用 关键要点: 证书需定期轮换,私钥权限设为600 通过docker info验证TLS状态 建议结合证书自动续期工具和审计日志分析 适用场景:生产环境中需要安全管控Docker守护进程的
如何为Docker配置TLS加密通信(2376端口)?
weixin_39291964的博客
07-13 285
docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H=tcp://服务器IP:2376 ps。openssl req -new -x509 -days 3650 -key ca-key.pem -sha256 -subj “/CN=你的域名或IP” -out ca.pem。docker -H tcp://服务器IP:2376 --tlsverify info # 返回Docker系统信息。
Docker 配置 TLS
贝克街的流浪猫
04-03 1239
引言 Docker 默认通过 Unix Socket 对外提供接口,也支持 HTTP 的方式,后者允许我们能够在本地控制远程服务器中的 Docker。如果你想让远程服务器中的 Docker安全的方式被访问,可为其配置 TLS,做到服务端和客户端的双向验证。本文由我的同事 @like 投稿,其中总结了他在配置 Docker TLS 过程中的实践经验。 安装 cfssl 这里我们使用 CloudFlare 的 PKI 工具集 cfssl 来创建证书。 安装 cfssl、cfssljson 以及 cfssl
docker_tls配置
weixin_50668398的博客
03-23 571
修改docker启动配置,启动参数加上这些 vi /lib/systemd/system/docker.service。执行生成证书脚本 vi tls.sh 证书生成路径/etc/docker/ca/通过docker命令行测试端口开放是否成功 ps:如0.0.0.0运行失败换成本机ip。脚本预写,可不执行 重启docker服务。
docker配置2376端口
xwnxwn的专栏
06-17 1141
也就是你接下来要允许那些ip可以连接到服务器的docker,因为已经是ssl连接,所以我推荐配置0.0.0.0,也就是所有ip都可以连接(但只有拥有证书的才可以连接成功),这样配置好之后公司其他人也可以使用。前面提到的配置是允许所有人都可以访问的,因为docker默认是root权限的,你把2375端口暴露在外面,意味着别人随时都可以提取到你服务器的root权限,是很容易被黑客黑的,因此,docker官方推荐使用加密的tcp连接,以Https的方式与客户端建立连接。
docker开启TLS远程访问 2376
lms99251的博客
07-18 2175
docker开启TLS远程访问的方法
docker 服务器engin开放2376端口给pycharm连接
weixin_33898233的博客
11-27 279
2019独角兽企业重金招聘Python工程师标准>>> ...
Docker启用TLS实现安全配置的步骤
09-29
同时,确保客户端Docker配置也开启TLS验证。 6. **测试连接** 确认Docker守护进程已成功启用TLS并可安全访问,可以尝试运行个简单的Docker命令,如`docker info`。如果配置正确,命令应该能够正常执行,表明TLS...
Docker开放远程安全访问(开启2376端口和CA认证)
guochengabcd的博客
08-11 1224
Docker开放远程安全访问(开启2376端口和CA认证)
docker安全通信 TLS介绍及配置
zhang_yazhou的博客
09-29 475
安全通信 TLS 生产环境 文章目录安全通信 TLS 生产环境、认识TLS协议【1】TLS的介绍【2】SSL的介绍【3】TLS算法(1)密钥交换和密钥协商(2)TLS加密的更新二、docker安全通信的配置【1】docker-tls加密通讯【2】创建ca秘钥【3】创建ca证书【4】创建服务器私钥【5】签名私钥【6】使用ca证书与私钥证书签名,输入123123【7】生成客户端秘钥【8】签名客户端【9】创建配置文件【10】签名证书,输入123123,需要(签名客户端,ca证书,ca秘钥)【11】删除多余文件【
docker swarm集群TLS配置
jimmyxian的博客
07-20 3085
声明: 本博客欢迎转发,但请保留原作者信息! 博客地址:http://blog.youkuaiyun.com/jimmyxian 新浪微博:@线超博内容系本人学习、研究和总结,如有雷同,实属荣幸!================================docker swarm集群TLS配置为了保证swarm集群的通信安全,可采用TLS协议进行加密传输,如下所示。 本例中,采用4个c
docker配置TLS 2376
白_的博客
02-18 1185
1 复制执行shell脚本,只需改动SERVER即可 #创建 Docker TLS 证书 #!/bin/bash #相关配置信息 # docker主机IP SERVER="ip" # 密码 PASSWORD="2cx&BUjsV4u%3Tz9" # 国家 COUNTRY="CN" # 省份 STATE="广东省" # 城市 CITY="深圳市" # 机构名称 ORGANIZATION="白的公司" # 机构单位 ORGANIZATIONAL_UNIT="白的单位" # 邮箱 EMAIL="lius
Docker开启TLS认证
qq_35156626的博客
12-21 873
修复Docker远程API调用漏洞,启用TLS认证
这就是你日日夜夜想要的docker!!!---------TLS加密远程连接Docker
热门推荐
weixin_47219935的博客
09-25 1万+
文章目录Docker 存在的安全问题1、Docker 自身漏洞2、Docker 源码问题3、Docker 架构缺陷与安全机制二、TLS加密通讯协议1、TLS介绍2、CA证书三、配置TLS安全加密1、实验环境准备2、创建CA根证书RSA私钥3、创建ca证书4、创建服务器私钥5、生成服务端证书6、生成签名过的服务端证书7、生成客户私钥8、生成客户端证书签名9、生成名为extfile.cnf的配置文件10、客户端签名证书11、删除多余文件12、配置dockerservice配置文件13、将秘钥文件传到客户端1
dockerTLS加密传输
2201_75480412的博客
03-08 1074
openssl req -subj "/CN=<服务器IP或域名>" -sha256 -new -key server-key.pem -out server.csr。但是该路径默认使用的是系统盘的存储,如果挂载了数据盘,需要把docker的默认存储路径修改至数据盘的挂载目录,则需要修改docker的相关配置。将 ca.pem 、client-cert.pem 、client-key.pem 复制到客户端 ~/.docker/ 目录。# 生成加密的 CA 私钥(4096位,AES-256加密)
Docker高级应用---远程TLS管理(安全认证)
weixin_47151643的博客
09-26 1520
文章目录Docker 容器与虚拟机的区别二、Docker 存在的安全问题三、Docker 架构缺陷与安全机制四:Dcoker-TLS加密实战4.1:TLS概述4.2:为什么要使用TLS加密4.3:docker-TLS部署 前言 TLS(Transport Layer Security,安全传输层)TLS是建立在传输层TCP协议之上的协议,服务于应用层,它的前身是SSL(Secure Socket Layer,安全套接字层),它实现了将应用层的报文进行加密后再交由TCP进行传输的功能。 TLS协议具.
Docker开启安全TLS远程连接访问方式
qq_38882672的博客
08-05 359
本篇文章给大家介绍Docker开启安全TLS远程连接,重新加载docker配置方法,教大家如何建立基于TLS数字签名的安全连接,本文给大家介绍的非常详细,需要的朋友可以参考下。如果还是不能访问,如果使用的机器是云服务器,比如阿里云、腾讯云等等,需要到服务器安全组规则中看看是否开放2375端口,如未配置,增加该端口配置即可。至此,CA证书就创建完成了,有了CA之后,就可以创建服务器密钥和证书签名请求(CSR)了,确保“通用名称”与你连接Docker时使用的主机名相匹配。定要用域名的方式!
docker 配置TLS证书
最新发布
09-05
<think> 我们正在讨论Docker配置TLS证书的方法。根据引用内容,配置TLS证书主要有两种方式:每次命令显式指定证书文件,或者配置环境变量和证书存放目录来简化操作。 同时,引用[4]还提到了如何修改Docker守护进程的配置以启用TLS认证。 下面我将分步骤说明如何配置: 1. 生成TLS证书:通常需要CA证书、服务器证书和客户端证书。但用户的问题集中在配置方法,所以这里不展开生成过程,假设证书已经生成。 2. 配置Docker守护进程(daemon)以启用TLS: 根据引用[4],我们需要修改Docker的启动配置(通常是`/etc/docker/daemon.json`或systemd的service文件)。 例如,在systemd管理的系统中,修改docker.service的ExecStart,添加TLS相关参数: ExecStart=/usr/bin/dockerd -H unix:///var/run/docker.sock -H tcp://0.0.0.0:2376 --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem 这里,-H指定了监听端口2376(默认TLS端口),并使用了三个TLS相关的选项:--tlsverify(启用TLS验证),以及指定CA证书、服务器证书和密钥的路径。 3. 客户端使用TLS连接: a) 每次执行命令时指定参数(如引用[1]和[3]): docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://服务器IP:2376 version b) 简化操作(如引用[2]):将客户端所需的证书文件(ca.pem, cert.pem, key.pem)放入用户主目录的~/.docker目录下,并设置环境变量: export DOCKER_HOST=tcp://服务器IP:2376 export DOCKER_TLS_VERIFY=1 然后就可以直接使用docker命令,如:docker ps 注意:证书文件的权限通常需要设置为仅允许所有者读写(如400或600),否则Docker可能会报错。 因此,完整的配置包括服务器端配置和客户端配置两部分。 下面我将详细写出配置步骤。 </think> ### Docker 配置 TLS 证书的方法 配置 Docker TLS 证书涉及**服务器端配置**和**客户端连接**两个关键步骤,以下是详细流程: --- #### **、服务器端配置Docker 守护进程)** 1. **生成证书**(需提前准备): - CA 证书 (`ca.pem`) - 服务器证书 (`server-cert.pem`) - 服务器私钥 (`server-key.pem`) 2. **修改 Docker 配置文件** 编辑 systemd 服务文件(如 `/lib/systemd/system/docker.service`): ```ini ExecStart=/usr/bin/dockerd \ -H unix:///var/run/docker.sock \ -H tcp://0.0.0.0:2376 \ # 监听 TLS 默认端口 2376 --tlsverify \ # 启用 TLS 验证 --tlscacert=/etc/docker/ca.pem \ # CA 证书路径 --tlscert=/etc/docker/server-cert.pem \ # 服务器证书 --tlskey=/etc/docker/server-key.pem # 服务器私钥 ``` > 引用自 Docker 守护进程配置示例 [^4] 3. **重启服务生效**: ```bash sudo systemctl daemon-reload sudo systemctl restart docker ``` --- #### **二、客户端连接方式** ##### 方法 1:命令显式指定证书(适合临时操作) ```bash docker --tlsverify \ --tlscacert=./ca.pem \ --tlscert=./client/cert.pem \ --tlskey=./client/key.pem \ -H tcp://服务器IP:2376 ps ``` > 需在每次命令中指定证书路径和主机地址 [^1][^3] ##### 方法 2:环境变量配置(推荐长期使用) 1. **存放证书到 `~/.docker` 目录**: ```bash mkdir -p ~/.docker cp {ca,cert,key}.pem ~/.docker/ # 复制客户端证书文件 ``` 2. **设置环境变量**: ```bash export DOCKER_HOST=tcp://服务器IP:2376 # 指定 Docker 主机 export DOCKER_TLS_VERIFY=1 # 强制启用 TLS 验证 ``` 3. **直接使用命令**(无需额外参数): ```bash docker ps # 自动使用 ~/.docker 下的证书 ``` > 简化操作的推荐方式 [^2] --- #### **关键注意事项** 1. **证书权限**: 所有 `.pem` 文件需设置严格权限(如 `chmod 600 *.pem`) 2. **端口区别**: - 非加密端口:`2375` - TLS 加密端口:`2376` 3. **防火墙**: 确保服务器防火墙开放 `2376` 端口 --- ### 相关问题 1. 如何生成 Docker TLS 所需的 CA 证书和客户端证书? 2. Docker TLS 连接出现 `x509: certificate signed by unknown authority` 错误如何解决? 3. 如何在 Docker Swarm 集群中配置 TLS 加密通信? 4. 除了 TLS 证书,Docker 还有哪些远程连接的安全加固方法?
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值