主頁(yè) > 知識(shí)庫(kù) > Docker開(kāi)啟TLS和CA認(rèn)證的方法步驟

Docker開(kāi)啟TLS和CA認(rèn)證的方法步驟
熱門(mén)標(biāo)簽:寧夏房產(chǎn)智能外呼系統(tǒng)要多少錢 藍(lán)點(diǎn)外呼系統(tǒng) 威海人工外呼系統(tǒng)供應(yīng)商 烏海智能電話機(jī)器人 400電話申請(qǐng)方案 貴陽(yáng)教育行業(yè)電話外呼系統(tǒng) 撫順移動(dòng)400電話申請(qǐng) 在百度地圖標(biāo)注車輛 做外呼系統(tǒng)的公司違法嗎

前言:Docker直接開(kāi)啟2375端口是不安全的,別人只要連上之后就可以任意操作,下面是開(kāi)啟Docker的TLS和CA認(rèn)證方法,并使用Jenkins和Portainer連接。

一、生成證書(shū)

查看服務(wù)器主機(jī)名

hostname

auto-generate-docker-tls-ca.sh

# !/bin/bash

# 一鍵生成TLS和CA證書(shū)

# Create : 2021-08-25
# Update : 2021-08-25
# @Autor : wuduoqiang

# 服務(wù)器主機(jī)名
SERVER="6c377ffb8e86"
# 密碼
PASSWORD="2cx&BUjsV4u%3TW9"
# 國(guó)家
COUNTRY="CN"
# 省份
STATE="海南省"
# 城市
CITY="海口市"
# 機(jī)構(gòu)名稱
ORGANIZATION="小強(qiáng)崽公司"
# 機(jī)構(gòu)單位
ORGANIZATIONAL_UNIT="小強(qiáng)崽單位"
# 郵箱
EMAIL="875667601@qq.com"

# 生成CA密鑰
openssl genrsa -aes256 -passout pass:$PASSWORD  -out ca-key.pem 2048

# 生成CA證書(shū)
openssl req -new -x509 -passin "pass:$PASSWORD" -days 3650 -key ca-key.pem -sha256 -out ca-cert.pem -subj "/C=$COUNTRY/ST=$STATE/L=$CITY/O=$ORGANIZATION/OU=$ORGANIZATIONAL_UNIT/CN=$SERVER/emailAddress=$EMAIL"

# 生成服務(wù)端密鑰
openssl genrsa -out server-key.pem 2048

# 生成服務(wù)端證書(shū)簽名的請(qǐng)求文件
openssl req -subj "/CN=$SERVER" -new -key server-key.pem -out server-req.csr

# 生成服務(wù)端證書(shū)
openssl x509 -req -days 3650 -in server-req.csr -CA ca-cert.pem -CAkey ca-key.pem -passin "pass:$PASSWORD" -CAcreateserial -out server-cert.pem

# 生成客戶端密鑰
openssl genrsa -out client-key.pem 2048

# 生成客戶端證書(shū)簽名的請(qǐng)求文件
openssl req -subj '/CN=client' -new -key client-key.pem -out client-req.csr

# 生成客戶端證書(shū)
sh -c 'echo "extendedKeyUsage=clientAuth" >> extfile.cnf'
openssl x509 -req -days 3650 -in client-req.csr -CA ca-cert.pem -CAkey ca-key.pem  -passin "pass:$PASSWORD" -CAcreateserial -out client-cert.pem -extfile extfile.cnf

# 更改密鑰權(quán)限
chmod 0400 ca-key.pem server-key.pem client-key.pem
# 更改證書(shū)權(quán)限
chmod 0444 ca-cert.pem server-cert.pem client-cert.pem
# 刪除無(wú)用文件
# rm ca-cert.srl client-req.csr server-req.csr extfile.cnf

文件說(shuō)明

ca.srl:CA簽發(fā)證書(shū)的序列號(hào)記錄文件
ca-cert.pem:CA證書(shū)
ca-key.pem:CA密鑰
server-key.pem:服務(wù)端密鑰
server-req.csr:服務(wù)端證書(shū)簽名請(qǐng)求文件
server-cert.pem:服務(wù)端證書(shū)
client-key.pem:客戶端密鑰
extfile.cnf:客戶端證書(shū)擴(kuò)展配置文件
client-req.csr:客戶端證書(shū)簽名請(qǐng)求文件
client-cert.pem:客戶端證書(shū)

命令解析

# -subj /C=$COUNTRY/ST=$STATE/L=$CITY/O=$ORGANIZATION/OU=$ORGANIZATIONAL_UNIT/CN=$SERVER/emailAddress=$EMAIL
-subj 是 指定證書(shū)申請(qǐng)人的信息
C  是 Country Name
ST 是 State or Province Name
L  是 Locality Name
O  是 Organization Name
OU 是 Organizational Unit Name
CN 是 Common Name
emailAddress 是 Email Address

二、開(kāi)啟遠(yuǎn)程

開(kāi)啟Docker的遠(yuǎn)程訪問(wèn)API

# 編輯文件
vim /etc/systemd/system/docker.service
# 修改內(nèi)容,注意證書(shū)的指定位置
ExecStart=/usr/bin/dockerd \

--tlsverify \

--tlscacert=/etc/docker/ca-cert.pem \

--tlscert=/etc/docker/server-cert.pem \

--tlskey=/etc/docker/server-key.pem \

-H unix:///var/run/docker.sock \

-H tcp://0.0.0.0:2375
# 重啟服務(wù)
systemctl daemon-reload && systemctl restart docker

如果沒(méi)有密鑰和證書(shū)是連不上的

docker -H 192.168.8.248:2375 images

使用主機(jī)名沒(méi)有密鑰和證書(shū)也是連不上的

docker -H 6c377ffb8e86:2375 images

加上密鑰和證書(shū)沒(méi)有使用主機(jī)名也是連不上

curl https://192.168.8.248:2375/info --cert ./client-cert.pem --key ./client-key.pem --cacert ./ca-cert.pem

加上密鑰和證書(shū)并且使用主機(jī)名就能訪問(wèn)

curl https://6c377ffb8e86:2375/info --cert ./client-cert.pem --key ./client-key.pem --cacert ./ca-cert.pem

三、遠(yuǎn)程連接

3.1 Jenkins連接

添加憑證

填寫(xiě)信息

測(cè)試連接,注意這里要使用主機(jī)名

如果是docker安裝的jenkins,則需要映射主機(jī)名

version: '3'
services:
  jenkins:
    restart: always
    image: 192.168.8.247/xiaoqiangzai/jenkins:latest
    container_name: jenkins
    ports:
      - '8888:8080'
      - '50000:50000'
    volumes:
      - ./data/jenkins_home:/var/jenkins_home
      - ./data/war/jenkins.war:/usr/share/jenkins/jenkins.war
    environment:
      JENKINS_OPTS: "--prefix=/jenkins"
    extra_hosts:
      - "6c377ffb8e86:192.168.8.248"

3.2 Portainer連接

選擇客戶端密鑰和證書(shū)以及CA證書(shū)

連接正常

如果是docker安裝的Portainer,則需要映射主機(jī)名

version: '3'
services:
  portainer:
    restart: always
    image: portainer/portainer-ce:latest
    container_name: portainer
    privileged: true
    ports:
      - '9000:9000'
    volumes:
      - ./data/data:/data
      - ./data/public:/public
    extra_hosts:
      - "6c377ffb8e86:192.168.8.248"

到此這篇關(guān)于Docker開(kāi)啟TLS和CA認(rèn)證的方法步驟的文章就介紹到這了,更多相關(guān)Docker開(kāi)啟TLS和CA認(rèn)證內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!

標(biāo)簽:周口 那曲 朝陽(yáng) 慶陽(yáng) 泰州 銅川 松原 蕪湖

巨人網(wǎng)絡(luò)通訊聲明:本文標(biāo)題《Docker開(kāi)啟TLS和CA認(rèn)證的方法步驟》,本文關(guān)鍵詞  Docker,開(kāi)啟,TLS,和,認(rèn)證,的,;如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問(wèn)題,煩請(qǐng)?zhí)峁┫嚓P(guān)信息告之我們,我們將及時(shí)溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò),涉及言論、版權(quán)與本站無(wú)關(guān)。
  • 相關(guān)文章
  • 下面列出與本文章《Docker開(kāi)啟TLS和CA認(rèn)證的方法步驟》相關(guān)的同類信息!
  • 本頁(yè)收集關(guān)于Docker開(kāi)啟TLS和CA認(rèn)證的方法步驟的相關(guān)信息資訊供網(wǎng)民參考!

    • 四合一精品企业网站建设

    多一个网站就为企业多增加一条营销渠道

    ¥888限时抢购

    QQ立即咨询快速购买

    企业400电话

    智能AI客服机器人
    15000

    在线订购

    合计11份范本:公司章程+合伙协议+出资协议+合作协议+股权转让协议+增资扩股协议+股权激励+股东会决议+董事会决议

    推薦文章