Docker配置SSL證書實現(xiàn)遠(yuǎn)程訪問
1、使用 openssl 生成 ca
- 1、創(chuàng)建文件夾
mkdir -p /root/docker
cd /root/docker
- 2、創(chuàng)建 RSA 私鑰
會提示 2 次輸入證書密碼,至少 4 位,創(chuàng)建后會生成一個 ca-key.pem 文件
openssl genrsa -aes256 -out ca-key.pem 4096
得到 ca-key.pem 文件
- 3、創(chuàng)建 CA 證書
根據(jù) ca-key.pem 密鑰創(chuàng)建 CA 證書,需要輸入一次前面的私鑰密碼,這里是自己給自己簽發(fā)證書
openssl req -new -x509 -days 999 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem
得到 ca.pem 文件
- 4、創(chuàng)建服務(wù)端私鑰
openssl genrsa -out server-key.pem 4096
得到 server-key.pem
- 5、創(chuàng)建服務(wù)端簽名請求證書文件
openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr
得到 server.csr 文件
- 6、指定 IP
允許指定的 ip 可以連接到服務(wù)器中的 docker,多個 ip 用逗號分隔,把下面的 2 個 127.0.0.1 改成服務(wù)器 IP 地址
echo subjectAltName = DNS:127.0.0.1,IP:127.0.0.1,IP:0.0.0.0 >> extfile.cnf
得到 extfile.cnf 文件
- 7、將 Docker 守護程序密鑰的擴展使用屬性設(shè)置為僅用于服務(wù)器身份驗證
echo extendedKeyUsage = serverAuth >> extfile.cnf
- 8、創(chuàng)建簽名生效的服務(wù)端證書文件
需要輸入一次前面設(shè)置的密碼
openssl x509 -req -days 999 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf
得到 server-cert.pem 文件
- 9、創(chuàng)建客戶端私鑰
用于客戶端遠(yuǎn)程連接的認(rèn)證
openssl genrsa -out key.pem 4096
- 10、創(chuàng)建客戶端簽名請求證書文件
openssl req -subj "/CN=client" -new -key key.pem -out client.csr
得到 client.csr 文件
- 11、創(chuàng)建 extfile.cnf 的配置文件
echo extendedKeyUsage = clientAuth > extfile-client.cnf
- 12、創(chuàng)建簽名生效的客戶端證書文件
需要輸入一次前面設(shè)置的密碼
openssl x509 -req -days 999 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile-client.cnf
- 13、刪除多余的文件
rm -rf ca.srl client.csr extfile.cnf extfile-client.cnf server.csr
我們剩下的文件有:
ca.pem,CA機構(gòu)證書
ca-key.pem,根證書RSA私鑰
cert.pem,客戶端證書
key.pem,客戶私鑰
server-cert.pem,服務(wù)端證書
server-key.pem,服務(wù)端私鑰
2、配置 Docker 支持 TSL 連接
vim /lib/systemd/system/docker.service
找到 ExecStart = 開頭的一行代碼,把默認(rèn)的
ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock
追加內(nèi)容如下:
ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock \ --tlsverify --tlscacert=/etc/docker/ca.pem \ --tlscert=/etc/docker/server-cert.pem \ --tlskey=/etc/docker/server-key.pem \ -H tcp://0.0.0.0:2375
3、重啟 Docker
- 刷新配置
systemctl daemon-reload
- 重啟 Docker
systemctl restart docker
4、遠(yuǎn)程連接 Docker
- 1、下載證書
將服務(wù)器上生成的 ca.pem、cert.pem、key.pem 文件下載至本地指定文件夾下
- 2、IDEA 中連接 Docker
使用 TCP socket 方式連接 Docker
https://192.168.52.132:2375
- Certificates folder 選擇下載的證書文件夾
E:\Desktop\docker
出現(xiàn) Connection successful 則表示 Docker 連接成功
到此這篇關(guān)于Docker配置SSL證書實現(xiàn)遠(yuǎn)程訪問的文章就介紹到這了,更多相關(guān)Docker SSL遠(yuǎn)程訪問 內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!
相關(guān)文章
Docker?發(fā)布自定義鏡像到公共倉庫的方法實現(xiàn)
在本文我們將學(xué)習(xí)如何使用Docker從公共倉庫拉取Nginx鏡像,定制該鏡像,添加自定義配置文件,并將定制后的鏡像發(fā)布到公共倉庫,同時指定自定義的名稱、描述和版本號,感興趣的可以了解一下2024-01-01Docker設(shè)置獲取環(huán)境變量的方法實現(xiàn)
本文主要介紹了Docker設(shè)置獲取環(huán)境變量的方法實現(xiàn),包含設(shè)置環(huán)境變量到使用獲取,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧2024-05-05Docker部署Python應(yīng)用的方法實現(xiàn)
在云服務(wù)使用越來越普及的趨勢下,很多應(yīng)用在考慮成本和、可部署性、維護性方面,選擇docker方案部署是一個不錯的選擇,本文主要介紹了Docker部署Python應(yīng)用的方法實現(xiàn),需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧2023-06-06