zoukankan      html  css  js  c++  java

  • centos7 配置远程ssl证书访问docker

    环境:
    CentOS Linux release 7.8.2003 (Core)
    Docker version 19.03.12

    一、使用openssl生成ca、服务器和客户端密钥
    1、创建好文件夹,切换到该目录

    mkdir -p /etc/docker && cd /etc/docker

    2、创建RSA私钥(会提示2次输入证书密码,至少4位),创建后会生成一个ca-key.pem

    openssl genrsa -aes256 -out ca-key.pem 4096

    3、根据ca-key.pem密钥创建CA证书(输入一次前面的私钥密码),这里是自己给自己签发证书

    openssl req -new -x509 -days 999 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem

    4、创建服务端私钥

    openssl genrsa -out server-key.pem 4096

    5、创建服务端签名请求证书文件。

    openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr

    6、允许指定的ip可以连接到服务器中的docker,多个ip用逗号分隔。把下面的2个127.0.0.1改成服务器IP地址

    echo subjectAltName = DNS:127.0.0.1,IP:127.0.0.1,IP:0.0.0.0 >> extfile.cnf

    7、将Docker守护程序密钥的扩展使用属性设置为仅用于服务器身份验证

    echo extendedKeyUsage = serverAuth >> extfile.cnf

    8、创建签名生效的服务端证书文件(需要输入一次前面设置的密码)

    openssl x509 -req -days 999 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf

    9、创建客户端私钥,用于客户端远程连接的认证

    openssl genrsa -out key.pem 4096

    10、创建客户端签名请求证书文件

    openssl req -subj "/CN=client" -new -key key.pem -out client.csr


    11、创建extfile.cnf的配置文件

    echo extendedKeyUsage = clientAuth > extfile-client.cnf


    12、创建签名生效的客户端证书文件(需要输入一次前面设置的密码)

    openssl x509 -req -days 999 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile-client.cnf


    13、删除多余的文件

    rm -rf ca.srl client.csr extfile.cnf extfile-client.cnf server.csr


    文件说明:
    ca.pem CA机构证书
    ca-key.pem 根证书RSA私钥
    cert.pem 客户端证书
    key.pem 客户私钥
    server-cert.pem 服务端证书
    server-key.pem 服务端私钥

    二、配置Docker支持TSL连接

    vim /lib/systemd/system/docker.service

    找到ExecStart = 开头的一行代码,把默认的

    ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock

    其替换为如下内容(其实是直接在后面追加 --tlsverify...)

    ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock 
	--tlsverify --tlscacert=/etc/docker/ca.pem 
	--tlscert=/etc/docker/server-cert.pem 
	--tlskey=/etc/docker/server-key.pem 
	-H tcp://0.0.0.0:2375

    三、刷新配置,重启Docker

    systemctl daemon-reload && systemctl restart docker

    四、验证远程链接Docker
    1、将/etc/docker下的ca.pem、cert.pem、key.pem复制到客户端指定文件夹下,如图

    2、用IDEA验证,API URL默认的tcp改为https,填好对应的的IP地址+端口,并选择好证书路径,出现successful字样说明连接成功了

    3、IDEA直接发布docker到线上服务器(如下图),前提是先build好jar文件,docker运行选项中最好加上-e TZ="Asia/Shanghai" --restart=always
    配置好后运行就可以直接把jar文件打包发布到线上容器了
  • 相关阅读:
    Linux 下杀毒可用工具 clamav
    Docker 添加环境系统文件配置
    Docker 空间大小设置
    Docker 扩容 容器空间大小
    bzoj 1088 DP
    bzoj 1096 斜率优化DP
    spoj p104 Matrix-Tree定理
    bzoj 1016 深搜
    WC后记
    bzoj 1301 后缀数组
  • 原文地址:https://www.cnblogs.com/nickchou/p/13676567.html
Copyright © 2011-2022 走看看