docker添加证书认证

最新推荐文章于 2025-06-29 10:53:21 发布
最新推荐文章于 2025-06-29 10:53:21 发布
阅读量3k 收藏 2
点赞数
CC 4.0 BY-SA版权
文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u010826341/article/details/124473888
该博客介绍了如何使用Shell脚本来生成SSL证书,包括根证书、服务端和客户端证书,并详细说明了证书的用途。接着,文章展示了如何编辑Docker配置以启用TLS验证,确保安全的Docker服务。最后,提到了需要开放2376端口以完成配置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

脚本内容

#!/bin/bash
HOST=$DOMAIN_HOST
# 自定义信息

# 生成的证书的目录
FILE_ROOT="/root/tls/pem"
DOMAIN_HOST="服务器IP"
PASSWORD="证书密码"
COUNTRY=CN
PROVINCE=ZJ
CITY=NB
ORGANIZATION=GCQ
GROUP=GCQ
NAME=GCQ


# 自定义信息
#============================================================================================
SUBJ="/C=$COUNTRY/ST=$PROVINCE/L=$CITY/O=$ORGANIZATION/OU=$GROUP/CN=$HOST"
mkdir -p ${FILE_ROOT}
#============================================================================================
#此形式是自己给自己签发证书,自己就是CA机构,也可以交给第三方机构去签发
# 生成根证书RSA私钥,password作为私钥密码(身份证)
echo "生成根证书RSA私钥..."
openssl genrsa -passout pass:$PASSWORD -aes256 -out /root/tls/pem/ca-key.pem 4096
# 2.用根证书RSA私钥生成自签名的根证书(营业执照)
echo "用根证书RSA私钥生成自签名的根证书..."
openssl req -new -x509 -days 365 -passin pass:$PASSWORD -key /root/tls/pem/ca-key.pem -sha256 -subj $SUBJ -out /root/tls/pem/ca.pem
#============================================================================================
#给服务器签发证书
# 1.服务端生成自己的私钥
echo "服务端生成自己的私钥..."
openssl genrsa -out /root/tls/pem/server-key.pem 4096
# 2.服务端生成证书(里面包含公钥与服务端信息)
echo "服务端生成证书..."
openssl req -new -sha256 -key /root/tls/pem/server-key.pem -out /root/tls/pem/server.csr -subj "/CN=$DOMAIN_HOST"
# 3.通过什么形式与我进行连接,可设置多个IP地扯用逗号分隔
echo "授权ip: ${DOMAIN_HOST},0.0.0.0..."
echo subjectAltName=IP:$DOMAIN_HOST,IP:0.0.0.0 > /tmp/extfile.cnf
# 4.权威机构对证书进行进行盖章生效
echo "权威机构对证书进行进行盖章生效..."
openssl x509 -passin pass:$PASSWORD -req -days 365 -sha256 -in /root/tls/pem/server.csr -CA /root/tls/pem/ca.pem -CAkey /root/tls/pem/ca-key.pem -CAcreateserial -out /root/tls/pem/server-cert.pem -extfile /tmp/extfile.cnf
#============================================================================================
#给客户端签发证书
echo "给客户端签发证书..."
openssl genrsa -out /root/tls/pem/client-key.pem 4096
openssl req -subj '/CN=client' -new -key /root/tls/pem/client-key.pem -out /root/tls/pem/client.csr
echo extendedKeyUsage = clientAuth > /tmp/extfile.cnf
openssl x509 -passin pass:$PASSWORD -req -days 365 -sha256 -in /root/tls/pem/client.csr -CA /root/tls/pem/ca.pem -CAkey /root/tls/pem/ca-key.pem -CAcreateserial -out /root/tls/pem/client-cert.pem -extfile /tmp/extfile.cnf
mv client-cert.pem cert.pem 
mv client-key.pem key.pem 
#============================================================================================
# 清理文件
echo "清理多余文件..."
rm -rf "${FILE_ROOT}/ca-key.pem"
rm -rf "${FILE_ROOT}/{server,client}.csr"
rm -rf "${FILE_ROOT}/ca.srl"

# 最终文件
# ca.pem  ==  CA机构证书
# cert.pem  ==  客户端证书
# key.pem  ==  客户私钥
# server-cert.pem  == 服务端证书
# server-key.pem  ==  服务端私钥

echo -e "最终文件:"
echo -e "${FILE_ROOT}/ca.pem\tCA机构证书"
echo -e "${FILE_ROOT}/cert.pem\t客户端证书"
echo -e "${FILE_ROOT}/key.pem\t客户私钥"
echo -e "${FILE_ROOT}/server-cert.pem\t服务端证书"
echo -e "${FILE_ROOT}/server-key.pem\t服务端私钥"

执行刚刚创建的脚本,生成证书。

随后编辑Docker配置

vim /lib/systemd/system/docker.service

将 ExecStart 更改为:

ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock

保存配置并重启

systemctl daemon-reload
systemctl restart docker.service

随后开放2376端口即可。

Snare·
关注
Docker7】Docker安全及https安全认证
m0_71593537的博客
03-09 1799
Docker安全及https安全认证
docker系列】docker API管理接口增加CA安全认证
2401_89190833的博客
01-15 460
正常情况下CA机构有自己的私钥,因为我们是模拟CA机构,所以这个私钥需要我们自己创建。执行下文中的命令,输入2次密码(密码务必记住,后文中需要使用),执行完命令之后,当前目录下生成一个。正常请开给你下,该流程是某公司向CA提机构提交自己公司的相关信息,CA授权机构根据这些信息(审核信息之后)生成一个用于该公司的CA证书(该公司范围的根证书)。然后提示需要输入国家、省份、地市、公司、组织、服务器地址或域名、邮箱联系方式,其中国家和服务器地址或域名要填上,否则后续无法使用。删除证书签发请求文件,已经失去用处。
docker服务配置安全证书
eif88的博客
07-31 407
【代码】docker服务配置安全证书
Docker 认证助理(DCA)备考指南(一)
最新发布
龙哥盟
06-29 978
到目前为止,我们已经定义了微服务以及进程如何适应这个模型。如前所述,容器与进程隔离有关。我们将容器定义为一个进程,它的所有需求都通过内核特性进行隔离。这个类似包的对象将包含运行我们的进程所需的所有代码及其依赖项、库、二进制文件和设置。凭借这个定义,我们很容易理解为什么容器在微服务环境中如此流行,但当然,我们也可以在没有容器的情况下执行微服务。相反,我们可以在一个完整的应用程序中运行容器,容器内部有许多进程,它们不需要在这个类似包的对象中相互隔离。在多进程容器方面,虚拟机和容器之间有什么区别?
docker容器 安装证书
一路向前的博客
06-20 878
4.运行 cp /usr/local/share/ca-certificates/proxyman_certificate.pem /usr/local/share/ca-certificates/proxyman_certificate.crt。请将C:\path\to\proxyman_certificate.pem替换为证书文件在你本地文件系统中的实际路径。在Windows上打开PowerShell或命令提示符。以root身份进入容器并更新证书存储。
使用docker运行nginx,添加ssl证书
薛凌康的博客
07-15 5231
使用docker运行nginx,添加ssl证书下载nginx镜像申请ssl证书nginx配置启动nginx 下载nginx镜像 docker pull nginx:alpine 申请ssl证书 可以在阿里云申请免费的ssl证书,进入阿里云控制台首页,点击ssl证书,进入ssl证书管理页面,点击购买证书,按照指引操作即可,申请完成后,将证书上传到/etc/nginx/cert目录下 nginx配置 ...
Docker的安全屏障(CA证书
zhuwei的博客
08-04 1388
Docker安全及日志管理前言一、Docker容器和虚拟机的区别性能损耗隔离与共享docker安全问题自身漏洞源码缺陷三、docker 安全缺陷DDOS攻击资源耗尽系统漏洞共享root用户权限局域网攻击四、docker 安全基线标准内核级别主机级别网络级别镜像级别容器级别其他设置五、docker安全配置api远程访问控制限制流量流向创建CA证书 前言 一、Docker容器和虚拟机的区别 性能损耗 与虚拟机相比,容器资源损耗要少。同样的宿主机下,能够建立容器的数量要比虚拟机多。但是,虚拟机的安全性要比容器稍好
linux安装docker crt证书,docker 如何添加证书
weixin_30387635的博客
05-15 1610
1.升级处理:sudo apt-get update缺包,包的版本旧等问题可以由此解决,如果不是的话那就是缺失认证,需要生成自己的认证证书。2.生成自己的认证证书先建一个文件夹mkdir -p certs之后创建证书证书生成在刚才创建的文件夹中openssl req -newkey rsa:4096 -nodes -sha256 -keyout /root/certs/domain.key -x...
Docker SSL证书配置(ubuntu22.04)
s912360101的博客
07-01 554
7、生成cert证书,供docker 使用。6、通过v3扩展文件来生成服务端证书文件。3、生成服务器证书私钥。4、生成证书签名请求。1、生成CA证书私钥。5、生成v3扩展文件。
Docker Api开启TLS认证流程
weixin_42211693的博客
04-01 855
建立CA中心和生成server服务端自签证书
生成docker开启TLS认证所需CA证书的SH脚本分享
Akc_true的博客
04-25 370
生成docker开启TLS认证所需CA证书的脚本
docker 生成TLS认证证书
martin_violet的博客
04-14 2415
docker ssl TSL 证书
Docker基础系列之TLS和CA认证
囚徒之困
04-01 1826
Docker TLS和CA认证
创建认证授权的docker私有仓库
Cumu Blog
04-18 3170
之前介绍过简单的搭建docker私有仓库的方法(见http://blog.youkuaiyun.com/jthink_/article/details/50596239),但是如果是在测试、开发、生产环境中都使用该私有仓库,必须做一些认证授权相关的限制,否则任何人都能创建和更改一个镜像,这样有可能会对镜像造成污染。安装docker简单方式,daocloud提供的方式:curl -sSL https://get
【云原生】Docker 安全与CA证书生成
xnxqwzy的博客
03-26 1351
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
docker生成ssl证书(按步骤来即可,真实可用)
guochengabcd的博客
09-06 2424
docker生成证书
docker配置ca证书
无bug不人生
07-12 2193
参考 脚本 ca证书生成脚本 #!/bin/bash # ------------------------------------------------------------- # 自动创建 Docker TLS 证书 # ------------------------------------------------------------- # config # --[BEGIN]------------------------------ # 代码,可以随便写 CODE="WRETCHANT"
linux环境docker安装应用/配置证书
SHNotCultrue的博客
11-18 1452
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
22.0 docker添加权限
03-11
例如,可以配置Docker监听TCP端口,并设置TLS认证来增强安全性,但这可能超出了基本的权限添加需求。 另外,引用[2]提到的证书问题,如果用户遇到证书相关的权限错误,可能需要检查Docker证书配置,比如在/etc/...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值