• Docker学习(十一)-----docker-ca加密认证


    前面提到的配置是允许所有人都可以访问的,因为docker默认是root权限的,把2375端口暴露在外面,意味着别人随时都可以提取到你服务器的root权限,很容易被黑客黑,因此,docker官方推荐使用加密的tcp连接,以https的方式与客户端建立连接

    https://docs.docker.com/engine/security/protect-access/#create-a-ca-server-and-client-keys-with-openssl官网文档

    Docker认证命令配置

    1.创建ca文件夹,存放CA私钥和公钥

    mkdir -p /usr/local/ca
    cd /usr/local/ca/
    
    • 1
    • 2

    2.生成CA私钥和公钥

    在Docker守护进程的主机上,生成CA私钥和公钥

    openssl genrsa -aes256 -out ca-key.pem 4096
    
    • 1

    在这里插入图片描述注:上面输入两次密码

    3.依次输入密码,国家,省,市,组织名称,邮箱等

    openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
    
    • 1

    现在已经有了CA,接下来创建一个服务器密钥和证书签名请求(CSR),确保公用名与你用来连接到Docker的主机名匹配

    4.生成server-key.pem

    openssl genrsa -out server-key.pem 4096
    
    • 1

    在这里插入图片描述

    5.CA来签署公钥

    由于TLS连接可以通过IP地址和DNS名称进行,所以在创建证书时需要指定IP地址,例如,允许使用10.10.10.20和127.0.0.1进行连接: $Host换成你自己服务器外网的IP或者域名

    openssl req -subj "/CN=$HOST" -sha256 -new -key server-key.pem -out server.csr
    
    • 1

    本地局域网:

    openssl req-subj "/CN=192.168.10.1" -sha256 -new -key server-key.pem -out server.csr
    
    • 1

    6.配置白名单

    • 1.允许指定ip可以连接到服务器的docker,可以配置ip,用逗号分隔开
    • 2.因为已经是ssl连接,所以我推荐配置0.0.0.0,也就是所有ip都可以连接(但只有拥有证书的才可以连接成功),这样配置好之后公司其他人也可以使用
    如果填写的ip地址 命令如下 echo subjectAltName=IP:$HOST,IP:0.0.0.0>>extfile.cnf
    如果填写的是域名 命令如下 echo subjectAltName=DNS:$HOST,IP:0.0.0.0>>extfile.cnf
    
    • 1
    • 2

    7.执行命令

    将Docker守护程序密钥的扩展使用属性设置为仅用于服务器身份验证

    echo extendeKeyUsage=serverAuth>>extfile.cnf
    
    • 1

    8.生成签名证书

    openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf
    
    • 1

    9.生产客户端的key.pem

    openssl genrsa -out key.pem 4096
    openssl req -subj '/CN=client' -new -key key.pem -out client.csr
    
    • 1
    • 2

    10.要使密钥适合客户端身份验证

    创建扩展配置文件
    echo extendeKeyUsage=clientAuth>>extfile.cnf
    echo extendeKeyUsage=clientAuth>extfile-client.cnf
    
    • 1
    • 2
    • 3

    11.现在,生成签名证书

    openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile-client.cnf
    
    • 1

    生成cert.pem,需要输入前面设置的密码

    12.删除不需要的文件,两个证书签名请求

    生成cert.pem和server-cert之后,你可以安全地删除两个证书签名请求和可扩展配置文件
    rm -v client.csr server.csr extfile.cnf exfile-client.cnf
    
    • 1
    • 2

    待续…

  • 相关阅读:
    cv::solvePnP使用方法及注意点详解(OpenCV/C++)
    spring boot入门
    Stateflow快速入门系列(-):构造并运行 Stateflow 图
    XTTS系列之四:迷迷糊糊的并行度
    SpirngBoot+微服务SpringCloud——Eureka服务的注册(二)
    华为机试HJ58
    Android Glide加载transform CenterCrop, CircleCrop ShapeableImageView圆形图并描边,Kotlin
    Python---函数
    从Python代码到诗
    探讨Cesium多边形内取点问题
  • 原文地址:https://blog.csdn.net/qq_44623314/article/details/121926999