使用TLS加密通讯远程连接Docker的示例详解

更新时间：2020年12月08日 11:00:17 作者：人人都是酸菜鱼又酸又菜又多余

这篇文章主要介绍了使用TLS加密通讯远程连接Docker的示例详解,本文给大家介绍的非常详细，对大家的学习或工作具有一定的参考借鉴价值，需要的朋友可以参考下

默认情况下，Docker 通过非联网 UNIX 套接字运行。它还可以使用 HTTP 套接字进行可选通信。
如果需要以安全的方式通过网络访问 Docker，可以通过指定标志将 Docker 标志指向受信任的 CA 证书来启用 TLS。
在守护程序模式下，它只允许来自由该 CA 签名的证书验证的客户端的连接。在客户端模式下，它仅连接到具有该 CA 签名的证书的服务器。

# 创建CA证书目录
[root@localhost ~]# mkdir tls
[root@localhost ~]# cd tls/
# 创建CA密钥
[root@localhost tls]# openssl genrsa -aes256 -out ca-key.pem 4096
Generating RSA private key, 4096 bit long modulus
..............................................................................++
.....................................................................................................................................................................++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem:
Verifying - Enter pass phrase for ca-key.pem:
# 创建CA证书
[root@localhost tls]# openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem
Enter pass phrase for ca-key.pem:
[root@localhost tls]# ll
总用量 8
-rw-r--r--. 1 root root 3326 12月 3 17:20 ca-key.pem
-rw-r--r--. 1 root root 1765 12月 3 19:03 ca.pem
# 创建服务器私钥
[root@localhost tls]# openssl genrsa -out server-key.pem 4096
Generating RSA private key, 4096 bit long modulus
................................................................++
..................++
e is 65537 (0x10001)
[root@localhost tls]# ll
总用量 12
-rw-r--r--. 1 root root 3326 12月 3 17:20 ca-key.pem
-rw-r--r--. 1 root root 1765 12月 3 19:03 ca.pem
-rw-r--r--. 1 root root 3243 12月 3 19:03 server-key.pem
# 对私钥进行签名
[root@localhost tls]# openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr
[root@localhost tls]# ll
总用量 16
-rw-r--r--. 1 root root 3326 12月 3 17:20 ca-key.pem
-rw-r--r--. 1 root root 1765 12月 3 19:03 ca.pem
-rw-r--r--. 1 root root 1574 12月 3 19:04 server.csr
-rw-r--r--. 1 root root 3243 12月 3 19:03 server-key.pem
使用CA证书与私钥签名，输入上面设置的密码
[root@localhost tls]# openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem
Signature ok
subject=/CN=*
Getting CA Private Key
Enter pass phrase for ca-key.pem:
#生成客户端密钥
[root@localhost tls]# openssl genrsa -out key.pem 4096
Generating RSA private key, 4096 bit long modulus
....................................................................................................................++
.................................++
e is 65537 (0x10001)
#对客户端签名
[root@localhost tls]# openssl req -subj "/CN=client" -new -key key.pem -out client.csr
#创建配置文件
[root@localhost tls]# echo extendedKeyUsage=clientAuth > extfile.cnf
#签名证书
[root@localhost tls]# openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
Signature ok
subject=/CN=client
Getting CA Private Key
Enter pass phrase for ca-key.pem:
[root@localhost tls]# ll
总用量 40
-rw-r--r--. 1 root root 3326 12月 3 17:20 ca-key.pem
-rw-r--r--. 1 root root 1765 12月 3 19:03 ca.pem
-rw-r--r--. 1 root root  17 12月 3 19:35 ca.srl
-rw-r--r--. 1 root root 1696 12月 3 19:35 cert.pem
-rw-r--r--. 1 root root 1582 12月 3 19:29 client.csr
-rw-r--r--. 1 root root  28 12月 3 19:32 extfile.cnf
-rw-r--r--. 1 root root 3243 12月 3 19:08 key.pem
-rw-r--r--. 1 root root 1647 12月 3 19:08 server-cert.pem
-rw-r--r--. 1 root root 1574 12月 3 19:04 server.csr
-rw-r--r--. 1 root root 3243 12月 3 19:03 server-key.pem
# 删除多余文件
[root@localhost tls]#

在客户端测试

[root@client ~]# docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version
Client: Docker Engine - Community
 Version:      19.03.13
 API version:    1.40
 Go version:    go1.13.15
 Git commit:    4484c46d9d
 Built:       Wed Sep 16 17:03:45 2020
 OS/Arch:      linux/amd64
 Experimental:   false

Server: Docker Engine - Community
 Engine:
 Version:     19.03.13
 API version:   1.40 (minimum version 1.12)
 Go version:    go1.13.15
 Git commit:    4484c46d9d
 Built:      Wed Sep 16 17:02:21 2020
 OS/Arch:     linux/amd64
 Experimental:   false
 containerd:
 Version:     1.3.9
 GitCommit:    ea765aba0d05254012b0b9e595e995c09186427f
 runc:
 Version:     1.0.0-rc10
 GitCommit:    dc9208a3303feef5b3839f4323d9beb36df0a9dd
 docker-init:
 Version:     0.18.0
 GitCommit:    fec3683

到此这篇关于使用TLS加密通讯远程连接Docker的示例详解的文章就介绍到这了,更多相关TLS加密远程连接Docker内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！

您可能感兴趣的文章:

docker镜像仓库hub.docker.com无法访问的解决方法
最近许多群友都询问为什么无法访问Docker镜像仓库,本文就来介绍一下docker镜像仓库hub.docker.com无法访问的解决方法,感兴趣的可以了解一下
2023-08-08
Docker配置WebSSH的实现
本文主要介绍了Docker配置WebSSH的实现，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2023-03-03
详解如何获取docker容器(container)的ip地址
这篇文章主要介绍了详解如何获取docker容器(container)的ip地址，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2019-09-09
Spring Cloud中使用jib进行docker部署的步骤详解
这篇文章主要介绍了Spring Cloud中使用jib进行docker部署的步骤详解,本文通过图文并茂的形式给大家介绍的非常详细，对大家的学习或工作具有一定的参考借鉴价值，需要的朋友可以参考下
2020-09-09
Docker容器间通信与外网通信的操作
这篇文章主要介绍了Docker容器间通信与外网通信的操作，具有很好的参考价值，希望对大家有所帮助。一起跟随小编过来看看吧
2021-03-03
Docker镜像加载原理
Docker镜像是Docker容器运行的基础，没有Docker镜像，就不可能有Docker容器，这也是Docker的设计原则之一，本文给大家介绍Docker镜像加载原理，感兴趣的朋友一起看看吧
2021-06-06
修改Docker镜像仓库为阿里云镜像或163镜像的实现
docker本身的仓库非常慢,但是国内有阿里云的镜像仓库非常快,本文主要介绍了修改Docker镜像仓库为阿里云镜像或163镜像的实现,具有一定的参考价值,感兴趣的可以了解一下
2023-11-11
使用Docker创建FTP服务器的过程解析
这篇文章主要介绍了使用Docker创建FTP服务器的过程解析,使用 Docker 搭建 FTP 服务，不仅十分简单，而且可以对宿主机有一定的隔离，对Docker创建FTP服务器的过程感兴趣的朋友一起看看吧
2022-04-04
cordon节点drain驱逐节点delete节点详解
这篇文章主要为大家介绍了cordon节点drain驱逐节点delete节点详解，有需要的朋友可以借鉴参考下，希望能够有所帮助，祝大家多多进步，早日升职加薪
2022-11-11
Centos7 安装部署Kubernetes(k8s)集群实现过程
这篇文章主要为大家介绍了Centos7 安装部署Kubernetes(k8s)集群实现过程详解，有需要的朋友可以借鉴参考下，希望能够有所帮助，祝大家多多进步，早日升职加薪
2022-11-11