Docker启用TLS进行安全连接

已于 2024-05-14 15:59:45 修改
阅读量542 收藏 5
点赞数 8
CC 4.0 BY-SA版权
文章标签: docker 安全 容器
于 2024-02-06 14:32:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42607526/article/details/136056447

文章目录

生成TLS证书

  • 官方地址:https://docs.docker.com/engine/security/protect-access/#use-tls-https-to-protect-the-docker-daemon-socket

生成服务端证书

生成ca文件

# 生成ca-key.pem文件,并自定义输入证书密码(123456)
openssl genrsa -aes256 -out ca-key.pem 4096
# 生成ca文件,并自定义国家、省市机构等信息可随便填
openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem

生成密钥

# 服务端密钥
openssl genrsa -out server-key.pem 4096
# 将$HOST替换为服务器内网IP
openssl req -subj "/CN=192.168.0.180" -sha256 -new -key server-key.pem -out server.csr
# 将$HOST替换为服务器内网IP,并指定允许连接的IP地址
echo subjectAltName = DNS:192.168.0.180,IP:192.168.0.180,IP:127.0.0.1,IP:0.0.0.0 >> extfile.cnf
# 将Docker守护进程密钥的扩展使用属性设置为仅用于服务端身份验证
echo extendedKeyUsage = serverAuth >> extfile.cnf
# 生成已签名的证书
openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \
  -CAcreateserial -out server-cert.pem -extfile extfile.cnf

生成客户端证书

openssl genrsa -out key.pem 4096
openssl req -subj '/CN=client' -new -key key.pem -out client.csr
# 客户端身份验证,创建一个新的扩展配置文件
echo extendedKeyUsage = clientAuth > extfile-client.cnf
# 生成已签名的证书
openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile-client.cnf

清理文件并设置只读权限

  • 生成cert.pem和server-cert.pem后,您可以安全地删除两个证书签名请求和扩展配置文件
rm -v client.csr server.csr extfile.cnf extfile-client.cnf
  • 为了保护您的密钥不受意外损坏,请删除它们的写入权限
chmod -v 0400 ca-key.pem key.pem server-key.pem
chmod -v 0444 ca.pem server-cert.pem cert.pem

配置TLS证书

  • ca.pem
  • server-cert.pem
  • server-key.pem
# 复制密钥到docker目录下
cp ca.pem server-cert.pem server-key.pem /etc/docker/
# 配置TLS服务端证书
vim /usr/lib/systemd/system/docker.service
  • 修改内容
# 使Docker守护进程只接受来自提供CA信任证书的客户端的连接
ExecStart=/usr/bin/dockerd -H tcp://0.0.0.0:2375 -H unix://var/run/docker.sock --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem
# 配置防火墙
ExecStartPost=/sbin/iptables -I FORWARD -s 0.0.0.0/0 -j ACCEPT

重启服务

# 加载配置并重启服务
systemctl daemon-reload && systemctl restart docker.service
# 查看服务状态
systemctl status docker.service

Idea连接Docker

  • ca.pem
  • cert.pem
  • key.pem
mkdir client_tls
# 复制客户端密钥
cp ca.pem cert.pem key.pem ./client_tls/

# Mac OS 从服务器下载客户端密钥
scp -r root@192.168.0.180:/root/client_tls ~/
# 连接地址由tcp改为https
https://192.168.0.180:2375

在这里插入图片描述

curl方式连接

curl https://192.168.0.180:2375/images/json \
  --cert ~/client_tls/cert.pem \
  --key ~/client_tls/key.pem \
  --cacert ~/client_tls/ca.pem

在这里插入图片描述

如何配置Docker守护进程的安全选项,比如启用TLS认证?
weixin_39291964的博客
07-20 13
Docker 守护进程安全配置指南摘要 本文详细介绍 Docker 守护进程的安全配置方案,重点包含 TLS 认证实现步骤。主要内容: 生成CA、服务器和客户端证书,配置加密通信 配置daemon.json启用TLS验证,限制监听端口 客户端环境变量设置及连接测试 其他安全措施:非root用户运行、网络访问限制、安全策略启用 关键要点: 证书需定期轮换,私钥权限设为600 通过docker info验证TLS状态 建议结合证书自动续期工具和审计日志分析 适用场景:生产环境中需要安全管控Docker守护进程的
Docker开启安全TLS远程连接
qq_36284689的博客
06-18 713
目录1.1 不安全的远程访问方式1.1.1 编辑docker.service文件:1.1.2 重新加载Docker配置生效1.1.3 警告!2.1 建立基于TLS数字签名的安全连接1.1 不安全的远程访问方式 1.1.1 编辑docker.service文件: vi /usr/lib/systemd/system/docker.service 找到 [Service] 节点,修改 ExecSta...
Docker启用TLS实现安全配置的步骤
01-10
前言 之前开启了docker的2375 Remote API,接到公司安全部门的要求,需要启用授权,翻了下官方文档 Protect the Docker daemon socket 启用TLSdocker服务器,生成CA私有和公共密钥 $ openssl genrsa -aes256 -out ca-key.pem 4096 Generating RSA private key, 4096 bit long modulus ..................................................................................
Docker开启安全TLS远程连接访问方式
qq_38882672的博客
08-05 346
本篇文章给大家介绍Docker开启安全TLS远程连接,重新加载docker配置方法,教大家如何建立基于TLS数字签名的安全连接,本文给大家介绍的非常详细,需要的朋友可以参考下。如果还是不能访问,如果使用的机器是云服务器,比如阿里云、腾讯云等等,需要到服务器安全组规则中看看是否开放2375端口,如未配置,增加该端口配置即可。至此,CA证书就创建完成了,有了CA之后,就可以创建服务器密钥和证书签名请求(CSR)了,确保“通用名称”与你连接Docker时使用的主机名相匹配。一定要用域名的方式!
Docker开启TLS认证
qq_35156626的博客
12-21 846
修复Docker远程API调用漏洞,启用TLS认证
docker开启TLS远程连接
mxrain的博客
06-21 581
最近在研究cicd jenkins 需要连接阿里云服务器的docker 2375端口, 这里用TLS方式连接docker服务 一、制作证书(docker服务的机器) 建立证书存放位置 创建CA证书私钥 创建服务端私钥 创建服务端证书签名请求文件,用于CA证书给服务端证书签名。IP需要换成自己服务器的IP地址,或者域名都可以。生成文件server.csr 配置白名单,用多个用逗号隔开,例如: IP:192.168.3.171,IP:0.0.0.0,这里需要注意,虽然0.0.0.0
Docker安全管理-----------TLS加密通讯
weixin_48191138的博客
11-20 1008
目录一、TLS加密通讯1.1 在master服务器上1.1.1 创建目录1.1.2 修改主机名1.1.3 添加映射1.1.4 创建ca密钥1.1.5 创建ca证书1.1.6 创建服务器私钥1.1.7 签名私钥1.1.8 使用ca证书与私钥证书签名1.1.9 生成客户端密钥1.1.10 签名客户端1.1.11 创建配置文件1.1.12 签名证书(签名客户端,ca证书,ca密钥)1.1.13 删除多余文件1.1.14 配置docker1.1.15 重启进程和docker服务1.1.1
Docker-TLS详解
繁星若渺的博客
03-17 1670
目录一、Docker 存在的安全问题1.1、Docker 自身漏洞1.2、Docker 源码问题1.3、Docker 架构缺陷与安全机制1.3.1、容器之间的局域网攻击1.3.2、DDoS 攻击耗尽资源1.3.3、有漏洞的系统调用1.3.4、共享root用户权限1.4、Docker 安全基线标准1.4.1、内核级别1.4.2、主机级别1.4.3、网络级别1.4.4、镜像级别1.4.5、容器级别1.4.6、其他设置1.5、容器最小化1.6、Docker remote api 访问控制1.6.1、示例1.6.1
docker开启TLS远程访问 2376
lms99251的博客
07-18 2158
docker开启TLS远程访问的方法
Docker高级应用---远程TLS管理(安全认证)
weixin_47151643的博客
09-26 1514
文章目录一、Docker 容器与虚拟机的区别二、Docker 存在的安全问题三、Docker 架构缺陷与安全机制四:Dcoker-TLS加密实战4.1:TLS概述4.2:为什么要使用TLS加密4.3:docker-TLS部署 前言 TLS(Transport Layer Security,安全传输层),TLS是建立在传输层TCP协议之上的协议,服务于应用层,它的前身是SSL(Secure Socket Layer,安全套接字层),它实现了将应用层的报文进行加密后再交由TCP进行传输的功能。 TLS协议具.
Docker(十四)Docker开启远程安全访问
wzj_110的博客
08-09 694
前言:之前配置了任何人都可以连接,被黑了,下决心要研究下docker客户端远程安全连接 一 证书的一些故事 (0)证书介绍 开发'https功能'的web server必须用到签名证书,证书都是由'证书签发机构签发',当然也可以'自己给自己签发'即自签名证书。 要签发证书,首先要'有一个根证书',然后用'根证书来签发'用户证书 (1)用户进行证书申请 一般先生成一个'私钥文件(Key)',然后用私钥生成'证书签名请求'(csr:certificate signing request),再..
docker——tls(ssl)加密通信
Yusheng9527的博客
03-16 2107
docker——tls(ssl)加密通信DockerClient端与DockerDaemon的通信安全(https证书)背景使用证书访问的工作流程部署思路证书创建过程环境准备创建一个存放目录生成ca证书1)创建ca私钥2)创建ca证书用ca证书签发server端证书1)创建服务器私钥2)生成证书签名请求文件(csr文件)3)使用ca证书与私钥证书签发服务端签名证书用ca证证书签发client端证书1)生成客户端私钥2)生成证书签名请求文件3)创建扩展配置文件,使秘钥适合客户端身份验证4)使用ca证书签发客户
DockerTLS 认证
记录了,但是完全不会。
07-05 829
使用脚本快速创建TLS证书并部署到Docker服务,解决2375端口引发的安全漏洞。
dockerTLS加密传输
最新发布
2201_75480412的博客
03-08 1040
openssl req -subj "/CN=<服务器IP或域名>" -sha256 -new -key server-key.pem -out server.csr。但是该路径默认使用的是系统盘的存储,如果挂载了数据盘,需要把docker的默认存储路径修改至数据盘的挂载目录,则需要修改docker的相关配置。将 ca.pem 、client-cert.pem 、client-key.pem 复制到客户端 ~/.docker/ 目录。# 生成加密的 CA 私钥(4096位,AES-256加密)
Docker存在的安全问题,如何解决?
weixin_42449832的博客
03-17 1815
文章目录一、Docker 容器与虚拟机的详细区别二、Docker 存在的安全问题2.1 Docker 自身漏洞2.2 Docker 源码问题三、Docker 架构缺陷与安全机制四、Docker 安全基线标准4.1 内核级别4.2 主机级别4.3 网络级别4.4 镜像级别4.5 容器级别4.6 其他设置五、Docker 远程调用与流量限制5.1 Docker remote api 访问控制5.2 限制流量流向六、容器最小化与镜像安全6.1 容器最小化6.2 镜像安全 一、Docker 容器与虚拟机的详细区别
DockerTLS认证
qq_27858615的博客
07-28 1720
dockerTLS认证
Docker 配置 TLS
贝克街的流浪猫
04-03 1226
引言 Docker 默认通过 Unix Socket 对外提供接口,也支持 HTTP 的方式,后者允许我们能够在本地控制远程服务器中的 Docker。如果你想让远程服务器中的 Docker安全的方式被访问,可为其配置 TLS,做到服务端和客户端的双向验证。本文由我的同事 @like 投稿,其中总结了他在配置 Docker TLS 过程中的实践经验。 安装 cfssl 这里我们使用 CloudFlare 的 PKI 工具集 cfssl 来创建证书。 安装 cfssl、cfssljson 以及 cfssl
dockerTLS加密通讯
weixin_51837038的博客
04-05 167
一、Docker容器与虚拟机的区别 1、隔离与共享 虚拟机通过添加 Hypervisor 层,虚拟出网卡、内存、CPU 等虚拟硬件,再在其上建立 虚拟机,每个虚拟机都有自己的系统内核。 而 Docker 容器则是通过隔离的方式,将文件系 统、进程、设备、网络等资源进行隔离,再对权限、CPU 资源等进行控制,最终让容器之间互不影响,容器无法影响宿主机。容器与宿主机共享内核、文件系统、硬件等资源。 2、性能与损耗 与虚拟机相比,容器资源损耗要少。 同样的宿主机下,能够建立容器的数量要比虚拟 机多。但是,虚拟机的
docker desktop tls
01-28
### 如何配置Docker Desktop以启用TLS 对于Docker Desktop而言,为了确保安全通信,可以启用传输层安全性(Transport Layer Security, TLS)。这涉及到创建并安装必要的证书文件。 #### 创建和获取证书 需要下载`server-cert.pem`和`server-key.pem`到本地,这些将在后续配置Portainer或者其他管理工具时用到[^1]。通常情况下,会有一个CA签发的客户端和服务端证书用于双向验证。如果是在开发环境中自签名,则可以通过诸如OpenSSL这样的工具来生成所需的PEM格式证书。 #### 设置环境变量 为了让Docker命令默认通过TLS连接远程守护进程而不必每次都手动指定参数,在用户的家目录下的`.docker`子目录里放置好对应的证书与私钥之后,还需要设定两个重要的环境变量: - `DOCKER_HOST`: 指定要连接的目标主机地址以及API端口,默认为TCP 2376。 - `DOCKER_TLS_VERIFY`: 设为非零值表示开启TLS验证模式。 具体操作如下所示: ```bash mkdir -p ~/.docker cp -v {ca,cert,key}.pem ~/.docker/ export DOCKER_HOST=tcp://<your_host>:2376 export DOCKER_TLS_VERIFY=1 ``` 上述命令中的路径应替换为你实际保存证书的位置,并且将`<your_host>`替换成目标服务器的实际IP或域名[^2]。 #### 测试配置有效性 完成以上步骤后,应该能够顺利地使用带有TLS加密通道的安全方式访问远端Docker服务了。此时可尝试拉取官方测试镜像并启动容器来进行简单的功能检测: ```bash docker run hello-world ``` 该指令将会从仓库中取得名为hello-world的小型映象,并展示一条欢迎消息证明一切运作良好[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

逢生博客

你的鼓励将是我创作的最大动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值