碼上快樂

相關內容    簡體    繁體

centos7 配置遠程ssl證書訪問docker

本文轉載自   查看原文   2020-09-16 19:07   699    docker

環境:
CentOS Linux release 7.8.2003 (Core)
Docker version 19.03.12

一、使用openssl生成ca、服務器和客戶端密鑰
1、創建好文件夾,切換到該目錄

mkdir -p /etc/docker && cd /etc/docker

2、創建RSA私鑰(會提示2次輸入證書密碼,至少4位),創建后會生成一個ca-key.pem

openssl genrsa -aes256 -out ca-key.pem 4096

3、根據ca-key.pem密鑰創建CA證書(輸入一次前面的私鑰密碼),這里是自己給自己簽發證書

openssl req -new -x509 -days 999 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem

4、創建服務端私鑰

openssl genrsa -out server-key.pem 4096

5、創建服務端簽名請求證書文件。

openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr

6、允許指定的ip可以連接到服務器中的docker,多個ip用逗號分隔。把下面的2個127.0.0.1改成服務器IP地址

echo subjectAltName = DNS:127.0.0.1,IP:127.0.0.1,IP:0.0.0.0 >> extfile.cnf

7、將Docker守護程序密鑰的擴展使用屬性設置為僅用於服務器身份驗證

echo extendedKeyUsage = serverAuth >> extfile.cnf

8、創建簽名生效的服務端證書文件(需要輸入一次前面設置的密碼)

openssl x509 -req -days 999 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf

9、創建客戶端私鑰,用於客戶端遠程連接的認證

openssl genrsa -out key.pem 4096

10、創建客戶端簽名請求證書文件

openssl req -subj "/CN=client" -new -key key.pem -out client.csr


11、創建extfile.cnf的配置文件

echo extendedKeyUsage = clientAuth > extfile-client.cnf


12、創建簽名生效的客戶端證書文件(需要輸入一次前面設置的密碼)

openssl x509 -req -days 999 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile-client.cnf


13、刪除多余的文件

rm -rf ca.srl client.csr extfile.cnf extfile-client.cnf server.csr


文件說明:
ca.pem CA機構證書
ca-key.pem 根證書RSA私鑰
cert.pem 客戶端證書
key.pem 客戶私鑰
server-cert.pem 服務端證書
server-key.pem 服務端私鑰

二、配置Docker支持TSL連接

vim /lib/systemd/system/docker.service

找到ExecStart = 開頭的一行代碼,把默認的

ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock

其替換為如下內容(其實是直接在后面追加 --tlsverify...)

ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock \
	--tlsverify --tlscacert=/etc/docker/ca.pem \
	--tlscert=/etc/docker/server-cert.pem \
	--tlskey=/etc/docker/server-key.pem \
	-H tcp://0.0.0.0:2375

三、刷新配置,重啟Docker

systemctl daemon-reload && systemctl restart docker

四、驗證遠程鏈接Docker
1、將/etc/docker下的ca.pem、cert.pem、key.pem復制到客戶端指定文件夾下,如圖

2、用IDEA驗證,API URL默認的tcp改為https,填好對應的的IP地址+端口,並選擇好證書路徑,出現successful字樣說明連接成功了

3、IDEA直接發布docker到線上服務器(如下圖),前提是先build好jar文件,docker運行選項中最好加上-e TZ="Asia/Shanghai" --restart=always
配置好后運行就可以直接把jar文件打包發布到線上容器了


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 centos7 nginx配置ssl證書實現https訪問同時http訪問 centos7 nginx 配置 ssl證書 centOS7 apache ssl證書安裝配置 CentOS7安裝nginx並配置ssl證書實現https centos7 安裝OpenLDAP服務 配置SSL證書 centos7利用acme.sh獲取Let's Encrypt的永久免費ssl證書並配置網站域名https訪問 Centos7中docker開啟遠程訪問 Docker遠程端口開啟SSL證書認證 【SSL證書配置】tomcat實現SSL證書訪問 Docker學習筆記之--Nginx反向代理綁定域名及ssl證書(環境:centos7)
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM