【Docker】TLS 认证

已于 2023-07-05 17:21:02 修改
阅读量806 收藏 4
点赞数 3
分类专栏: # 后端 文档整理 开发问题 文章标签: docker 容器
于 2023-07-05 17:19:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/tabingbuxiaode/article/details/131559260
版权
本文介绍了如何在内网测试服务器上,因领导来访需要加强审查,通过使用TLS证书来修复Docker的2375端口缺陷。文章提供了一个脚本来生成必要的证书和配置Docker守护进程,包括创建CA证书、服务器证书和客户端证书,以及配置防火墙规则以允许2376端口通信,从而确保Docker通信的安全性和身份验证。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

本就是内网测试服务器,最近电网领导要来了,服务器突然搞审查,要求修复docker 2375 端口缺陷。

为了继续使用插件,使用TLS证书修复该问题。

TLS

TLS(Transport Layer Security)是一种加密协议,用于在计算机网络上提供安全通信。它的前身是SSL(Secure Sockets Layer)协议,后来逐渐发展成为TLS。

主要目标是确保通信的机密性和完整性,以及对通信双方进行身份验证。它使用加密算法对传输的数据进行加密,防止数据在传输过程中被窃取或篡改。同时,TLS 也提供了数字证书来验证通信双方的身份,以防止中间人攻击和欺骗。

TLS 在很多应用中被广泛使用,特别是在保护敏感信息(如用户名、密码、支付信息等)的互联网通信中。常见的应用包括安全网页浏览(HTTPS)、电子邮件传输(SMTPS、IMAPS、POP3S)、虚拟私有网络(VPN)等。

通过使用 TLS,通信双方可以建立一个安全的通信通道,保护数据的隐私和完整性,并确保双方的身份。

脚本

请自己酌情修改!

创建文件,复制粘贴,保存,赋予脚本权限,执行即可。

#!/bin/bash
# docker_tls.sh
# 环境:CentOS 7.9

set -e

########## 配置信息 ##########

PORT=2376
SERVER_CERTS_DIR="/etc/docker/secret/server_tls"    # 服务器密钥存放目录
CLIENT_CERTS_DIR="/etc/docker/secret/client_tls"    # 客户端密钥存放目录
CA_CERTS_FILE="/etc/docker/secret/ca.pem"           # CA 证书文件路径
COUNTRY="CN"
STATE="Shanghai"
CITY="Shanghai"
ORGANIZATION="Elven"
ORGANIZATIONAL_UNIT="Dev"
COMMON_NAME=$(hostname)
EMAIL="admin@example.com"
PASSWORD="MijsfR"

########## 生成证书 ##########

echo "Generating Docker TLS certificates..."

# 创建目录并设置权限
mkdir -p "$SERVER_CERTS_DIR"
mkdir -p "$CLIENT_CERTS_DIR"
chmod 700 "$SERVER_CERTS_DIR" "$CLIENT_CERTS_DIR"

# 生成 CA 证书和私钥
if [[ ! -f "$CA_CERTS_FILE" ]]; then
    openssl genrsa -aes256 -passout "pass:$PASSWORD" -out "$SERVER_CERTS_DIR/ca-key.pem" 4096
    openssl req -new -x509 -days 3650 -key "$SERVER_CERTS_DIR/ca-key.pem" -sha256 -out "$CA_CERTS_FILE" \
        -passin "pass:$PASSWORD" -subj "/C=$COUNTRY/ST=$STATE/L=$CITY/O=$ORGANIZATION/OU=$ORGANIZATIONAL_UNIT/CN=ca/emailAddress=$EMAIL"
    chmod 0444 "$CA_CERTS_FILE"
fi

# 生成服务器证书和私钥
openssl genrsa -out "$SERVER_CERTS_DIR/server-key.pem" 4096
openssl req -subj "/CN=$COMMON_NAME" -sha256 -new -key "$SERVER_CERTS_DIR/server-key.pem" -out "$SERVER_CERTS_DIR/server.csr"
echo subjectAltName = IP:$(hostname -I | awk '{print $1}') > "$SERVER_CERTS_DIR/extfile.cnf"
echo extendedKeyUsage = serverAuth >> "$SERVER_CERTS_DIR/extfile.cnf"
openssl x509 -req -days 3650 -sha256 -in "$SERVER_CERTS_DIR/server.csr" -passin "pass:$PASSWORD" \
  -CA "$CA_CERTS_FILE" -CAkey "$SERVER_CERTS_DIR/ca-key.pem" -CAcreateserial -out "$SERVER_CERTS_DIR/server-cert.pem" -extfile "$SERVER_CERTS_DIR/extfile.cnf"

# 设置证书和私钥文件权限
chmod 0400 "$SERVER_CERTS_DIR/server-key.pem"
chmod 0444 "$CA_CERTS_FILE" "$SERVER_CERTS_DIR/server-cert.pem"

# 生成客户端密钥
openssl genrsa -out "$CLIENT_CERTS_DIR/key.pem" 4096
openssl req -subj "/CN=$COMMON_NAME" -sha256 -new -key "$CLIENT_CERTS_DIR/key.pem" -out "$CLIENT_CERTS_DIR/client.csr"
echo extendedKeyUsage = clientAuth > "$CLIENT_CERTS_DIR/extfile.cnf"
openssl x509 -req -days 3650 -sha256 -in "$CLIENT_CERTS_DIR/client.csr" -passin "pass:$PASSWORD" \
  -CA "$CA_CERTS_FILE" -CAkey "$SERVER_CERTS_DIR/ca-key.pem" -CAcreateserial -out "$CLIENT_CERTS_DIR/cert.pem" -extfile "$CLIENT_CERTS_DIR/extfile.cnf"

# 设置客户端证书和私钥文件权限
chmod 0400 "$CLIENT_CERTS_DIR/key.pem"
chmod 0444 "$CA_CERTS_FILE" "$CLIENT_CERTS_DIR/cert.pem"

# 清理临时文件
rm -f "$SERVER_CERTS_DIR/ca-key.pem" "$SERVER_CERTS_DIR/server.csr" "$SERVER_CERTS_DIR/extfile.cnf"
rm -f "$CLIENT_CERTS_DIR/client.csr" "$CLIENT_CERTS_DIR/extfile.cnf"

########## 配置 Docker 守护进程 ##########

echo "Configuring Docker daemon..."

# 备份 Docker 配置文件
DOCKER_SERVICE_FILE="/usr/lib/systemd/system/docker.service"
DOCKER_SERVICE_BACKUP="/usr/lib/systemd/system/docker.service.bak"
cp "$DOCKER_SERVICE_FILE" "$DOCKER_SERVICE_BACKUP"

# 更新 Docker 配置文件
DOCKER_TLS_OPTS=" --tlsverify \
  --tlscacert=$CA_CERTS_FILE \
  --tlscert=$SERVER_CERTS_DIR/server-cert.pem \
  --tlskey=$SERVER_CERTS_DIR/server-key.pem \
  --tlsverify \
  -H fd:// -H 0.0.0.0:$PORT"

sed -i "s|^ExecStart=.*|ExecStart=/usr/bin/dockerd $DOCKER_TLS_OPTS|" "$DOCKER_SERVICE_FILE"

# 重新加载 systemd 配置
systemctl daemon-reload

########## 完成 ##########

echo "Docker TLS certificates and configuration have been generated successfully."

########## 重启Docker ##########

sudo systemctl restart docker

防火墙

  • 开放2376/tcp
    firewall-cmd --zone=public --add-port=2376/tcp --permanent
  • 重新加载防火墙规则以使更改生效
    firewall-cmd --reload
  • 验证端口是否已成功打开
    firewall-cmd --zone=public --list-ports
    应该能够看到端口 2376 在输出中

成果

  • 网页访问在这里插入图片描述
  • 密钥客户端保存
    在这里插入图片描述
  • IDEA 配置
    在这里插入图片描述

小结

  1. Docker TLS 的作用:Docker TLS 用于保护 Docker 守护进程和客户端之间的通信,防止敏感数据在传输过程中被窃取或篡改,以及确保通信双方的身份验证。

  2. 证书和密钥生成:为了启用 Docker TLS,首先需要生成一组证书和密钥。通常包括生成自签名的根证书(CA 证书)、服务器证书和私钥,以及客户端证书和私钥。

  3. CA 证书:根证书(CA 证书)用于签发和验证服务器证书和客户端证书。它是信任的根源,用于验证通信双方的身份。

  4. 服务器证书和私钥:服务器证书和私钥用于验证和加密 Docker 守护进程的通信。服务器证书包含服务器的公钥,并用于客户端验证服务器的身份。

  5. 客户端证书和私钥:客户端证书和私钥用于验证和加密客户端与 Docker 守护进程的通信。客户端证书包含客户端的公钥,并用于服务器验证客户端的身份。

  6. 配置 Docker 守护进程:在 Docker 守护进程的配置文件中,需要指定 TLS 相关的参数,包括 CA 证书、服务器证书、服务器私钥等。这样 Docker 守护进程就能够使用 TLS 进行安全通信。

  7. 客户端使用 TLS:客户端在使用 TLS 连接到 Docker 守护进程时,需要提供自己的证书和私钥,并验证服务器的证书。客户端通过 TLS 连接可以执行 Docker 相关操作,并确保通信的安全性。

  8. 定期更新证书:为了保持安全,证书应该定期更新。过期的证书可能导致连接失败或安全风险。

  9. 防火墙配置:为了使用 Docker TLS,需要确保防火墙允许相应的端口(默认为 2376)进行通信。

通过使用 Docker TLS,可以增加 Docker 环境的安全性,保护敏感数据和通信的机密性。但是,要确保正确配置和管理证书,并采取适当的安全措施,以保护证书和密钥的机密性和完整性。

docker——tls(ssl)加密通信
Yusheng9527的博客
03-16 2088
docker——tls(ssl)加密通信DockerClient端与DockerDaemon的通信安全(https证书)背景使用证书访问的工作流程部署思路证书创建过程环境准备创建一个存放目录生成ca证书1)创建ca私钥2)创建ca证书用ca证书签发server端证书1)创建服务器私钥2)生成证书签名请求文件(csr文件)3)使用ca证书与私钥证书签发服务端签名证书用ca证证书签发client端证书1)生成客户端私钥2)生成证书签名请求文件3)创建扩展配置文件,使秘钥适合客户端身份验证4)使用ca证书签发客户
生成docker开启TLS认证所需CA证书的SH脚本分享
Akc_true的博客
04-25 346
生成docker开启TLS认证所需CA证书的脚本
Docker基础系列之TLS和CA认证
囚徒之困
04-01 1757
Docker TLS和CA认证
dockerTLS加密传输
2201_75480412的博客
03-08 968
openssl req -subj "/CN=<服务器IP或域名>" -sha256 -new -key server-key.pem -out server.csr。但是该路径默认使用的是系统盘的存储,如果挂载了数据盘,需要把docker的默认存储路径修改至数据盘的挂载目录,则需要修改docker的相关配置。将 ca.pem 、client-cert.pem 、client-key.pem 复制到客户端 ~/.docker/ 目录。# 生成加密的 CA 私钥(4096位,AES-256加密)
DockerTLS认证
qq_27858615的博客
07-28 1660
dockerTLS认证
Docker 使用TLS 认证远程访问
weixin_34204722的博客
06-04 560
2019独角兽企业重金招聘Python工程师标准>>> ...
docker 生成TLS认证证书
martin_violet的博客
04-14 2385
docker ssl TSL 证书
Docker启用TLS实现安全配置的步骤
09-29
Docker启用TLS(Transport Layer Security)是保护Docker守护进程套接字安全的重要步骤,它为Docker远程API提供加密和身份验证,防止未授权访问和数据泄露。TLS是一种广泛使用的网络安全协议,用于确保网络通信的...
Docker Api开启TLS认证流程
最新发布
weixin_42211693的博客
04-01 819
建立CA中心和生成server服务端自签证书
docker引擎开启TLS双向认证
qq_21442867的博客
07-07 1246
文章目录0 环境信息1 创建CA证书1.1 创建CA私钥1.2 生成CA证书2 用ca 证书签发服务端 证书3 为docker引擎部署服务端证书5 用ca 证书签发客户端证书:6 验证 tls 证书7 补充 0 环境信息 docker 引擎服务端 192.168.3.16 docker 客户端 192.168.3.14 docker 版本 19.03.9 1 创建CA证书 1.1 创建CA私钥 可在任意一个可以使用 openssl 命令行工具的操作系统 创建证书相关的文件 创建一个
Docker-TLS详解
繁星若渺的博客
03-17 1656
目录一、Docker 存在的安全问题1.1、Docker 自身漏洞1.2、Docker 源码问题1.3、Docker 架构缺陷与安全机制1.3.1、容器之间的局域网攻击1.3.2、DDoS 攻击耗尽资源1.3.3、有漏洞的系统调用1.3.4、共享root用户权限1.4、Docker 安全基线标准1.4.1、内核级别1.4.2、主机级别1.4.3、网络级别1.4.4、镜像级别1.4.5、容器级别1.4.6、其他设置1.5、容器最小化1.6、Docker remote api 访问控制1.6.1、示例1.6.1
长文详解!Docker客户端与服务端TLS认证Docker Remote API认证
董哥的黑板报
07-28 5640
一、Docker Remote API的认证 在前一篇文章我们介绍了Docker Remote API如何使用:https://blog.youkuaiyun.com/qq_41453285/article/details/107642615 在前一篇文章中我们介绍了如何连接到Docker Remote API,但是不意味着任何其他人都能连接到同样的API。从安全的角度上看,这存在一点儿安全问题。不过值得感谢的是,自Docker的0.9版本开始Docker Remote API开始提供了认证机制。这种认证机制采用了
Docker 服务 TLS 证书全自动生成
weixin_33898876的博客
12-20 683
以下是我整理的一个 Bash 脚本代码,保存为 auto-tls-certs.sh 脚本文件,修改配置信息,然后 /bin/bash auto-tls-certs.sh 执行即可。 整个过程无需人工干预!不多说,直接上代码! Bash 脚本代码 #!/bin/bash # # Created by L.STONE <web.de...
Docker安全管理-----------TLS加密通讯
weixin_48191138的博客
11-20 972
目录一、TLS加密通讯1.1 在master服务器上1.1.1 创建目录1.1.2 修改主机名1.1.3 添加映射1.1.4 创建ca密钥1.1.5 创建ca证书1.1.6 创建服务器私钥1.1.7 签名私钥1.1.8 使用ca证书与私钥证书签名1.1.9 生成客户端密钥1.1.10 签名客户端1.1.11 创建配置文件1.1.12 签名证书(签名客户端,ca证书,ca密钥)1.1.13 删除多余文件1.1.14 配置docker1.1.15 重启进程和docker服务1.1.1
docker-api使用tls证书
AI炼丹师的专栏
12-11 839
---》服务器私钥(server-key.pem)----》服务器私钥签名(server.csr)----》最后通过ca密钥、ca证书、服务端私钥签名-生成服务端证书(server-cert.pem)客户端 :私钥(key.pem )----》私钥签名(client.csr)----》ca 密钥----》ca密钥证书----》客户端签名证书(cert.pem)客户端签名证书cert.pem --------(ca 密钥 、 ca 证书、服务端签名)一、 Docker-TLS加密通讯。
docker建立TLS证书连接
a7758775的博客
11-01 1080
使用TLS证书保护Docker 当我们使用远程调用docker时,未设置TLSdocker,将可以被任何人调用,这是极其危险的。 docker原生提供了使用TLS证书(客户端和服务端)进行安全保证。 创建证书 使用openssl来创建CA,并签署秘钥/证书。 首先创建一个certs目录,并内置三个子目录 ca、client、server。 $ mkdir -p ~/certs/{ca,clien...
Docker高级应用之远程TLS管理(安全认证)步骤详细简单易懂
chenchen的博客
12-03 1418
目录一、TLS简介二、Docker 容器与虚拟机的区别三、Docker 存在的安全问题 一、TLS简介 TLS(Transport Layer Security,安全传输层),TLS是建立在传输层TCP协议之上的协议,服务于应用层,它的前身是SSL(Secure Socket Layer,安全套接字层),它实现了将应用层的报文进行加密后再交由TCP进行传输的功能。 TLS协议具备三大特性:保密性(数据都是加密传输,预防第三方嗅探)、数据完整性(基于MAC校验机制)、双向认证支持(避免身份被冒充) 在doc
程序员都在学的docker--docker安全TLS验证(ca证书、服务端证书、客户端证书)
kimowinter的博客
10-09 1783
文章目录一、 Docker-TLS加密通讯1.1 TLS介绍1.2 CA证书证书创建流程二、 TLS加密通讯实操实验目的实验环境实验参数实验过程1. 修改主机的前置环境2. 创建ca证书密钥3. 创建ca证书4. 创建服务端私钥5. 给服务端私钥签名6. 使用ca证书与私钥证书签名7. 生成客户私钥8. 给客户端证书签名9. 创建配置文件10. 创建客户端证书11. 整理证书12. 配置docker13. 传输证书,进行验证 一、 Docker-TLS加密通讯 1.1 TLS介绍 TLS (Transpor
es docker安全认证
02-07
#### 使用 Docker Compose 设置安全认证 为了在单机上通过 DockerDocker Compose 来部署带有 Kibana 的 Elasticsearch 并启用基本的安全特性,可以按照如下方法进行操作[^1]。 创建 `docker-compose.yml` 文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

总在寒冷清秋

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值