快捷導(dǎo)航

Docker配置SSL證書實(shí)現(xiàn)遠(yuǎn)程訪問

更新時(shí)間：2025年01月02日 11:08:49 作者：Asurplus

本文主要介紹了使用OpenSSL生成CA證書和服務(wù)器證書并配置Docker以支持SSL連接實(shí)現(xiàn)遠(yuǎn)程訪問,文中通過示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧

1、使用 openssl 生成 ca

1、創(chuàng)建文件夾

mkdir -p /root/docker

cd /root/docker

2、創(chuàng)建 RSA 私鑰

會(huì)提示 2 次輸入證書密碼，至少 4 位，創(chuàng)建后會(huì)生成一個(gè) ca-key.pem 文件

openssl genrsa -aes256 -out ca-key.pem 4096

得到 ca-key.pem 文件

3、創(chuàng)建 CA 證書

根據(jù) ca-key.pem 密鑰創(chuàng)建 CA 證書，需要輸入一次前面的私鑰密碼，這里是自己給自己簽發(fā)證書

openssl req -new -x509 -days 999 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem

得到 ca.pem 文件

4、創(chuàng)建服務(wù)端私鑰

openssl genrsa -out server-key.pem 4096

得到 server-key.pem

5、創(chuàng)建服務(wù)端簽名請(qǐng)求證書文件

openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr

得到 server.csr 文件

6、指定 IP

允許指定的 ip 可以連接到服務(wù)器中的 docker，多個(gè) ip 用逗號(hào)分隔，把下面的 2 個(gè) 127.0.0.1 改成服務(wù)器 IP 地址

echo subjectAltName = DNS:127.0.0.1,IP:127.0.0.1,IP:0.0.0.0 >> extfile.cnf

得到 extfile.cnf 文件

7、將 Docker 守護(hù)程序密鑰的擴(kuò)展使用屬性設(shè)置為僅用于服務(wù)器身份驗(yàn)證

echo extendedKeyUsage = serverAuth >> extfile.cnf

8、創(chuàng)建簽名生效的服務(wù)端證書文件

需要輸入一次前面設(shè)置的密碼

openssl x509 -req -days 999 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf

得到 server-cert.pem 文件

9、創(chuàng)建客戶端私鑰

用于客戶端遠(yuǎn)程連接的認(rèn)證

openssl genrsa -out key.pem 4096

10、創(chuàng)建客戶端簽名請(qǐng)求證書文件

openssl req -subj "/CN=client" -new -key key.pem -out client.csr

得到 client.csr 文件

11、創(chuàng)建 extfile.cnf 的配置文件

echo extendedKeyUsage = clientAuth > extfile-client.cnf

12、創(chuàng)建簽名生效的客戶端證書文件

需要輸入一次前面設(shè)置的密碼

openssl x509 -req -days 999 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile-client.cnf

13、刪除多余的文件

rm -rf ca.srl client.csr extfile.cnf extfile-client.cnf server.csr

我們剩下的文件有：

ca.pem，CA機(jī)構(gòu)證書
ca-key.pem，根證書RSA私鑰
cert.pem，客戶端證書
key.pem，客戶私鑰
server-cert.pem，服務(wù)端證書
server-key.pem，服務(wù)端私鑰

2、配置 Docker 支持 TSL 連接

vim /lib/systemd/system/docker.service

找到 ExecStart = 開頭的一行代碼，把默認(rèn)的

ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock

追加內(nèi)容如下：

ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock \
	--tlsverify --tlscacert=/etc/docker/ca.pem \
	--tlscert=/etc/docker/server-cert.pem \
	--tlskey=/etc/docker/server-key.pem \
	-H tcp://0.0.0.0:2375

3、重啟 Docker

刷新配置

systemctl daemon-reload

重啟 Docker

systemctl restart docker

4、遠(yuǎn)程連接 Docker

1、下載證書

將服務(wù)器上生成的 ca.pem、cert.pem、key.pem 文件下載至本地指定文件夾下

在這里插入圖片描述

2、IDEA 中連接 Docker

在這里插入圖片描述

使用 TCP socket 方式連接 Docker

https://192.168.52.132:2375

Certificates folder 選擇下載的證書文件夾

E:\Desktop\docker

出現(xiàn) Connection successful 則表示 Docker 連接成功

到此這篇關(guān)于Docker配置SSL證書實(shí)現(xiàn)遠(yuǎn)程訪問的文章就介紹到這了,更多相關(guān)Docker SSL遠(yuǎn)程訪問內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: