DOCKER的安全访问-基于CA认证

JAVA  2023-06-17 00:19  305  

m1芯片使用docker不方便,嫌弃占用高,因此使用vps的docker daemon,客户端只需要安装docker-cli

服务端

1.生成CA私钥文件ca-key.pem openssl genrsa -aes256 -out ca-key.pem 4096

2.生成CA公钥文件ca.pem openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem

3.基于CA文件生成server-key.pem文件 openssl genrsa -out server-key.pem 4096

4.基于server-key.pem文件生成server.csr文件 openssl req -subj "/CN=192.168.22.65" -sha256 -new -key server-key.pem -out server.csr 注意:生成过程中Common Name填写主机IP:192.168.22.65

5.输出subjectAltName属性到extfile.cnf文件     2选1 echo subjectAltName = DNS:$HOST,IP:192.168.22.65,IP:127.0.0.1 >> extfile.cnf

echo subjectAltName = IP:192.168.22.65,IP:0.0.0.0 >> extfile.cnf

    注意:TLS连接可以通过域名或IP建立,所以这里DNS:$HOST中的$HOST应填写你的域名。但我的需求是docker主机本机和客户端主机能够访问就可以了     192.168.22.65为服务端ip

6.输出extendedKeyUsage属性到extfile.cnf文件 echo extendedKeyUsage = serverAuth >> extfile.cnf

7.生成签名证书server-cert.pem文件 openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf

8.创建客户端私钥文件key.pem openssl genrsa -out key.pem 4096

9.基于key.pem文件生成client.csr文件 openssl req -subj '/CN=client' -new -key key.pem -out client.csr

10.输出extendedKeyUsage属性到extfile-client.cnf文件 echo extendedKeyUsage = clientAuth > extfile-client.cnf

11.生成签名证书cert.pem文件 openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile-client.cnf

12.删除两个csr文件和extfile文件 rm -v client.csr server.csr extfile.cnf extfile-client.cnf

13.修改**文件权限为只允许所有者读取 chmod -v 0400 ca-key.pem key.pem server-key.pem

14.修改证书文件权限为只读

chmod -v 0444 ca.pem server-cert.pem cert.pem

15.将CA证书、服务端证书、服务端**文件拷贝到/etc/docker目录 cp -v ca.pem server-cert.pem server-key.pem /etc/docker 16.配置/etc/docker/daemon.json文件 { "tlsverify": true, "tlscacert": "/etc/docker/ca.pem", "tlscert": "/etc/docker/server-cert.pem", "tlskey": "/etc/docker/server-key.pem", "hosts": ["tcp://0.0.0.0:2376","unix:///var/run/docker.sock"], "registry-mirrors": ["https://docker.mirrors.ustc.edu.cn"] }

17.修改/lib/systemd/system/docker.service文件中的配置

ExecStart = /usr/bin/dockerd

最后重启docker systemctl daemon-reload && systemctl restart docker



客户端

将CA证书、客户端证书、客户端**文件拷贝到/root/.docker目录
cp -v ca.pem cert.pem key.pem /root/.docker
设置环境变变量
export DOCKER_HOST=tcp://192.168.22.65:2376
export DOCKER_TLS_VERIFY=1

  

转载自:https://blog.csdn.net/wendrewshay/article/details/88255002?spm=1001.2014.3001.5502


发布于 2023-06-17 00:19, 最后修改于2023-06-17 00:19