前面提到的配置是允许所有人都可以访问的,因为docker默认是root权限的,把2375端口暴露在外面,意味着别人随时都可以提取到你服务器的root权限,很容易被黑客黑,因此,docker官方推荐使用加密的tcp连接,以https的方式与客户端建立连接
https://docs.docker.com/engine/security/protect-access/#create-a-ca-server-and-client-keys-with-openssl官网文档
mkdir -p /usr/local/ca
cd /usr/local/ca/
在Docker守护进程的主机上,生成CA私钥和公钥
openssl genrsa -aes256 -out ca-key.pem 4096
注:上面输入两次密码
openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
现在已经有了CA,接下来创建一个服务器密钥和证书签名请求(CSR),确保公用名与你用来连接到Docker的主机名匹配
openssl genrsa -out server-key.pem 4096

由于TLS连接可以通过IP地址和DNS名称进行,所以在创建证书时需要指定IP地址,例如,允许使用10.10.10.20和127.0.0.1进行连接: $Host换成你自己服务器外网的IP或者域名
openssl req -subj "/CN=$HOST" -sha256 -new -key server-key.pem -out server.csr
本地局域网:
openssl req-subj "/CN=192.168.10.1" -sha256 -new -key server-key.pem -out server.csr
如果填写的ip地址 命令如下 echo subjectAltName=IP:$HOST,IP:0.0.0.0>>extfile.cnf
如果填写的是域名 命令如下 echo subjectAltName=DNS:$HOST,IP:0.0.0.0>>extfile.cnf
将Docker守护程序密钥的扩展使用属性设置为仅用于服务器身份验证
echo extendeKeyUsage=serverAuth>>extfile.cnf
openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf
openssl genrsa -out key.pem 4096
openssl req -subj '/CN=client' -new -key key.pem -out client.csr
创建扩展配置文件
echo extendeKeyUsage=clientAuth>>extfile.cnf
echo extendeKeyUsage=clientAuth>extfile-client.cnf
openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile-client.cnf
生成cert.pem,需要输入前面设置的密码
生成cert.pem和server-cert之后,你可以安全地删除两个证书签名请求和可扩展配置文件
rm -v client.csr server.csr extfile.cnf exfile-client.cnf
待续…