• 企业400电话
  • 微网小程序
  • AI电话机器人
  • 电商代运营
  • 全 部 栏 目

    企业400电话 网络优化推广 AI电话机器人 呼叫中心 网站建设 商标✡知产 微网小程序 电商运营 彩铃•短信 增值拓展业务
    使用TLS加密通讯远程连接Docker的示例详解

    默认情况下,Docker 通过非联网 UNIX 套接字运行。它还可以使用 HTTP 套接字进行可选通信。
    如果需要以安全的方式通过网络访问 Docker,可以通过指定标志将 Docker 标志指向受信任的 CA 证书来启用 TLS。
    在守护程序模式下,它只允许来自由该 CA 签名的证书验证的客户端的连接。在客户端模式下,它仅连接到具有该 CA 签名的证书的服务器。

    # 创建CA证书目录
    [root@localhost ~]# mkdir tls
    [root@localhost ~]# cd tls/
    # 创建CA密钥
    [root@localhost tls]# openssl genrsa -aes256 -out ca-key.pem 4096
    Generating RSA private key, 4096 bit long modulus
    ..............................................................................++
    .....................................................................................................................................................................++
    e is 65537 (0x10001)
    Enter pass phrase for ca-key.pem:
    Verifying - Enter pass phrase for ca-key.pem:
    # 创建CA证书
    [root@localhost tls]# openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem
    Enter pass phrase for ca-key.pem:
    [root@localhost tls]# ll
    总用量 8
    -rw-r--r--. 1 root root 3326 12月 3 17:20 ca-key.pem
    -rw-r--r--. 1 root root 1765 12月 3 19:03 ca.pem
    # 创建服务器私钥
    [root@localhost tls]# openssl genrsa -out server-key.pem 4096
    Generating RSA private key, 4096 bit long modulus
    ................................................................++
    ..................++
    e is 65537 (0x10001)
    [root@localhost tls]# ll
    总用量 12
    -rw-r--r--. 1 root root 3326 12月 3 17:20 ca-key.pem
    -rw-r--r--. 1 root root 1765 12月 3 19:03 ca.pem
    -rw-r--r--. 1 root root 3243 12月 3 19:03 server-key.pem
    # 对私钥进行签名
    [root@localhost tls]# openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr
    [root@localhost tls]# ll
    总用量 16
    -rw-r--r--. 1 root root 3326 12月 3 17:20 ca-key.pem
    -rw-r--r--. 1 root root 1765 12月 3 19:03 ca.pem
    -rw-r--r--. 1 root root 1574 12月 3 19:04 server.csr
    -rw-r--r--. 1 root root 3243 12月 3 19:03 server-key.pem
    使用CA证书与私钥签名,输入上面设置的密码
    [root@localhost tls]# openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem
    Signature ok
    subject=/CN=*
    Getting CA Private Key
    Enter pass phrase for ca-key.pem:
    #生成客户端密钥
    [root@localhost tls]# openssl genrsa -out key.pem 4096
    Generating RSA private key, 4096 bit long modulus
    ....................................................................................................................++
    .................................++
    e is 65537 (0x10001)
    #对客户端签名
    [root@localhost tls]# openssl req -subj "/CN=client" -new -key key.pem -out client.csr
    #创建配置文件
    [root@localhost tls]# echo extendedKeyUsage=clientAuth > extfile.cnf
    #签名证书
    [root@localhost tls]# openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
    Signature ok
    subject=/CN=client
    Getting CA Private Key
    Enter pass phrase for ca-key.pem:
    [root@localhost tls]# ll
    总用量 40
    -rw-r--r--. 1 root root 3326 12月 3 17:20 ca-key.pem
    -rw-r--r--. 1 root root 1765 12月 3 19:03 ca.pem
    -rw-r--r--. 1 root root  17 12月 3 19:35 ca.srl
    -rw-r--r--. 1 root root 1696 12月 3 19:35 cert.pem
    -rw-r--r--. 1 root root 1582 12月 3 19:29 client.csr
    -rw-r--r--. 1 root root  28 12月 3 19:32 extfile.cnf
    -rw-r--r--. 1 root root 3243 12月 3 19:08 key.pem
    -rw-r--r--. 1 root root 1647 12月 3 19:08 server-cert.pem
    -rw-r--r--. 1 root root 1574 12月 3 19:04 server.csr
    -rw-r--r--. 1 root root 3243 12月 3 19:03 server-key.pem
    # 删除多余文件
    [root@localhost tls]#

    在客户端测试

    [root@client ~]# docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version
    Client: Docker Engine - Community
     Version:      19.03.13
     API version:    1.40
     Go version:    go1.13.15
     Git commit:    4484c46d9d
     Built:       Wed Sep 16 17:03:45 2020
     OS/Arch:      linux/amd64
     Experimental:   false
    
    Server: Docker Engine - Community
     Engine:
     Version:     19.03.13
     API version:   1.40 (minimum version 1.12)
     Go version:    go1.13.15
     Git commit:    4484c46d9d
     Built:      Wed Sep 16 17:02:21 2020
     OS/Arch:     linux/amd64
     Experimental:   false
     containerd:
     Version:     1.3.9
     GitCommit:    ea765aba0d05254012b0b9e595e995c09186427f
     runc:
     Version:     1.0.0-rc10
     GitCommit:    dc9208a3303feef5b3839f4323d9beb36df0a9dd
     docker-init:
     Version:     0.18.0
     GitCommit:    fec3683
    

    到此这篇关于使用TLS加密通讯远程连接Docker的示例详解的文章就介绍到这了,更多相关TLS加密远程连接Docker内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

    上一篇:Docker容器连接相互通信的实现
    下一篇:关于docker安全之Docker-TLS加密通讯问题
  • 相关文章
  • 

    © 2016-2020 巨人网络通讯 版权所有

    《增值电信业务经营许可证》 苏ICP备15040257号-8

    使用TLS加密通讯远程连接Docker的示例详解 使用,TLS,加密,通讯,远程,