2. 程式人生 > >docker筆記6-使用tsl方式連線docker和CA證書的安裝使用

docker筆記6-使用tsl方式連線docker和CA證書的安裝使用

阿新 發佈:2018-11-11

記錄使用tsl連線docker, CA證書的安裝使用

生成安裝證書

參照原文連結:https://segmentfault.com/a/1190000012510820 

auto-tls-certs.sh Bash 指令碼程式碼
#!/bin/bash
# 
# Created by L.STONE <[email protected]>
# -------------------------------------------------------------
# 自動建立 Docker TLS 證書
# -------------------------------------------------------------

# 以下是配置資訊
# --[BEGIN]------------------------------

CODE="字尾標識碼"
IP="IP 地址"
PASSWORD="密碼"
COUNTRY="CN"
STATE="省"
CITY="市"
ORGANIZATION="公司名稱"
ORGANIZATIONAL_UNIT="Dev"
COMMON_NAME="$IP"
EMAIL="電子郵件地址"

# --[END]--

# Generate CA key
openssl genrsa -aes256 -passout "pass:$PASSWORD" -out "ca-key-$CODE.pem" 4096
# Generate CA
openssl req -new -x509 -days 365 -key "ca-key-$CODE.pem" -sha256 -out "ca-$CODE.pem" -passin "pass:$PASSWORD" -subj "/C=$COUNTRY/ST=$STATE/L=$CITY/O=$ORGANIZATION/OU=$ORGANIZATIONAL_UNIT/CN=$COMMON_NAME/emailAddress=$EMAIL"
# Generate Server key
openssl genrsa -out "server-key-$CODE.pem" 4096

# Generate Server Certs.
openssl req -subj "/CN=$COMMON_NAME" -sha256 -new -key "server-key-$CODE.pem" -out server.csr

echo "subjectAltName = IP:$IP,IP:127.0.0.1" >> extfile.cnf
echo "extendedKeyUsage = serverAuth" >> extfile.cnf

openssl x509 -req -days 365 -sha256 -in server.csr -passin "pass:$PASSWORD" -CA "ca-$CODE.pem" -CAkey "ca-key-$CODE.pem" -CAcreateserial -out "server-cert-$CODE.pem" -extfile extfile.cnf


# Generate Client Certs.
rm -f extfile.cnf

openssl genrsa -out "key-$CODE.pem" 4096
openssl req -subj '/CN=client' -new -key "key-$CODE.pem" -out client.csr
echo extendedKeyUsage = clientAuth >> extfile.cnf
openssl x509 -req -days 365 -sha256 -in client.csr -passin "pass:$PASSWORD" -CA "ca-$CODE.pem" -CAkey "ca-key-$CODE.pem" -CAcreateserial -out "cert-$CODE.pem" -extfile extfile.cnf

rm -vf client.csr server.csr

chmod -v 0400 "ca-key-$CODE.pem" "key-$CODE.pem" "server-key-$CODE.pem"
chmod -v 0444 "ca-$CODE.pem" "server-cert-$CODE.pem" "cert-$CODE.pem"

# 打包客戶端證書
mkdir -p "tls-client-certs-$CODE"
cp -f "ca-$CODE.pem" "cert-$CODE.pem" "key-$CODE.pem" "tls-client-certs-$CODE/"
cd "tls-client-certs-$CODE"
tar zcf "tls-client-certs-$CODE.tar.gz" *
mv "tls-client-certs-$CODE.tar.gz" ../
cd ..
rm -rf "tls-client-certs-$CODE"

# 拷貝服務端證書
mkdir -p /etc/docker/certs.d
cp "ca-$CODE.pem" "server-cert-$CODE.pem" "server-key-$CODE.pem" /etc/docker/certs.d/

# /etc/docker/daemon.json
# {
#   "tlsverify": true,
#   "tlscacert": "/etc/docker/certs.d/ca.pem",
#   "tlscert": "/etc/docker/certs.d/server-cert.pem",
#   "tlskey": "/etc/docker/certs.d/server-key.pem",
#   "hosts": ["tcp://0.0.0.0:2376", "unix:///var/run/docker.sock"]
# }

echo " - 修改 /etc/docker/daemon.json 檔案"
cat <<EOF
vi /etc/docker/daemon.json
{
  "tlsverify": true,
  "tlscacert": "/etc/docker/certs.d/ca-$CODE.pem",
  "tlscert": "/etc/docker/certs.d/server-cert-$CODE.pem",
  "tlskey": "/etc/docker/certs.d/server-key-$CODE.pem",
  "hosts": ["tcp://0.0.0.0:2376", "unix:///var/run/docker.sock"]
}
EOF

# 拷貝客戶端證書檔案
# cp -v {ca,cert,key}.pem ~/.docker

# 客戶端遠端連線
# docker -H 192.168.1.130:2376 --tlsverify --tlscacert ~/.docker/ca.pem --tlscert ~/.docker/cert.pem --tlskey ~/.docker/key.pem ps -a
echo "docker -H $IP:2376 --tlsverify --tlscacert ~/.docker/ca-$CODE.pem --tlscert ~/.docker/cert-$CODE.pem --tlskey ~/.docker/key-$CODE.pem ps -a"

# 客戶端使用 cURL 連線
# curl --cacert ~/.docker/ca.pem --cert ~/.docker/cert.pem --key ~/.docker/key.pem https://192.168.1.130:2376/containers/json
echo "curl --cacert ~/.docker/ca-$CODE.pem --cert ~/.docker/cert-$CODE.pem --key ~/.docker/key-$CODE.pem https://$IP:2376/containers/json"

echo -e "\e[1;32mAll be done.\e[0m"

執行命令

./auto-tls-certs.sh

修改docker.service

vim /usr/lib/systemd/system/docker.service

ExecStart=/usr/bin/dockerd -H unix:///var/run/docker.sock -H tcp://0.0.0.0:2376

執行

systemctl daemon-reload
systemctl restart docker.service

將3個pem證書放置到客戶端(eg:C:\Users\docker-ca)

下載ca.pem ,cert.pem ,key.pem複製到客戶端C:\Users\docker-ca(路徑自定義)

複製客戶端的證書位置(eg:C:\Users\docker-ca)

如果idea 安裝了docker外掛配置如圖 

如果使用的docker-maven-plugin配置證書位置C:\Users\docker-ca

<plugin>
        <groupId>com.spotify</groupId>
        <artifactId>docker-maven-plugin</artifactId>
        <version>1.2.0</version>
        <configuration>
            <serverId>docker-hub</serverId>
            ...略
            <dockerCertPath>C:\Users\docker-ca</dockerCertPath>
            ...略
        </configuration>
</plugin>

作        者:天空藍藍的 
網址導航:http://www.lskyf.com 
個人部落格:http://www.lskyf.xyz 
版權所有,歡迎保留原文連結進行轉載:)

相關推薦

docker筆記6-使用tsl方式連線dockerCA證書安裝使用

記錄使用tsl連線docker, CA證書的安裝使用 生成安裝證書 參照原文連結:https://segmentfault.com/a/1190000012510820  auto-tls-certs.sh Bash 指令碼程式碼 #!/bin/bash # # Crea

Docker筆記(二):Docker管理的物件

原文地址:http://blog.jboost.cn/2019/07/14/docker-2.html   在Docker筆記(一):什麼是Docker中,我們提到了Docker管理的物件包含映象、容器、網路、資料卷等,本文就來介紹下這些物件及用途。 1. 映象 所謂映象,是一個靜態的概念。

Docker筆記(三):Docker安裝與配置

原文地址:http://blog.jboost.cn/2019/07/14/docker-3.html   Docker分為Docker CE社群免費版與Docker EE企業收費版。Docker EE主要是在安全性及映象、容器高階管理方面提供了一些額外的支援。對於中小型企業、團隊或個人來說,用

Docker筆記(四):Docker映象管理

原文地址:http://blog.jboost.cn/2019/07/16/docker-4.html   在Docker中,應用是通過容器來執行的,而容器的執行是基於映象的,類似面向物件設計中類與物件的關係——沒有類的定義就談不上例項的建立與使用,沒有映象的定義就談不上

學習筆記之openssl、檔案加密、CA證書的建立

1.openssl 的基礎知識     首先openssl的英文是Secure Sockets Laye。安全套接層協議。可以在Internet上提供祕密性傳輸。 SSL能使使用者/伺服器應用之間的通訊不被攻擊者竊聽,並且始終對伺服器進行認證,還可選擇

linux安全加密篇(三)—openssl工具CA證書

OpenSSL:開源專案 三個元件: openssl: 多用途的命令列工具,包openssl libcrypto: 加密演算法庫,包openssl-libs [[email protected] data]# openssl-libs libssl:加密模組

使用openssl模擬CACA證書的簽發

當使用ssl/tls進行加密通訊時,必須要有數字證書。若通訊只限制在區域網內,可以不向第三方機構申請簽發證書,可以通過openssl模擬CA(Certificate Authority),並通過該CA簽發證書。下文講述在Centos7.3上使用openssl工具

HTTPS原理CA證書申請(轉)

原文地址:http://blog.51cto.com/11883699/2160032 眾所周知,WEB服務存在http和https兩種通訊方式,http預設採用80作為通訊埠,對於傳輸採用不加密的方式,https預設採用443,對於傳輸的資料進行加密傳輸 目前主流的網站基本上開始預設採用HTTPS作為通

HTTPS原理CA證書申請(滿滿的乾貨)

開發十年,就只剩下這套架構體系了! >>>   

docker】elasticsearch-head無法連線elasticsearch的原因解決,叢集健康值:未連線,ElasticSearch——跨域訪問的問題

 環境 ==================== 虛擬機器啟動 centos 7  ip:192.168.92.130 elasticsearch 5.6.9   port:9200  9201 elasticSearch-head 5  p

Docker學習(2):Docker映象介紹容器的兩種建立方式

1.什麼是Docker映象     Docker映象是啟動容器構建的基石,是由檔案系統疊加而成,最底端是一個引導檔案系統,即bootfs,這很像典型的Linux的引導檔案系統,但是Docker使用者幾

Docker 學習筆記(一):Docker 基本命令 用 Dockerfile build 一個 JDK 映象

本文件為學習筆記,部分內容將持續更新。 注:本人信仰用最簡單的方式去做一些事,怎麼簡單怎麼來,也許不求甚解。 Docker 基本命令 docker version 獲取 docke

docker~Dockerfile方式生成控制檯Api專案的映象

回到目錄 一些理論知識 將控制檯程式和API程式部署到docker,然後執行它,這個首先要解決的問題就是如何在linux平臺執行C#程式碼,哈哈,很古老的問題,事實上,對於這種問題早在幾年前就已經有了解決方案,那就是在linux上安裝mono開發環境,然後使用mono就可以執行C#程式碼了,而如果你的C

docker學習筆記16:Dockerfile 指令 ADD COPY介紹

一、ADD指令 ADD指令的功能是將主機構建環境(上下文)目錄中的檔案和目錄、以及一個URL標記的檔案 拷貝到映象中。 其格式是: ADD  源路徑  目標路徑 如: #test FROM ubuntu MAINTAINER hello ADD test1.txt t

docker筆記(2)-----容器連線

2019-01-12  13:57:36 Dockerfile基本結構: 基礎映象內容:FROM指明base image 維護者資訊: 映象操作指令:RUN指令,每執行一條RUN指令,映象新增新的一層,並提交。 容器啟動時執行指令:指定執行容器時的操作命令。(支援#開頭的註釋行)

用navicat連線docker下的Mysql:5.6

環境:騰訊雲centos7.3、docker       本機上navicat 1.在docker 上搜索Mysql:5.6映象 docker search mysql:5.6 2.拉取mysql5.6映象  d

虛擬機器下安裝docker,並且ssh與的連線(centos6)--docker筆記

當前環境:win10->vmware->centos6.5(86_64) 不用管太多,先安裝docker。後面會有注意點。 1. yum install http://mirrors.yun-idc.com/epel/6/i386/epel-release-

C++反彙編學習筆記6——變數在記憶體中的位置訪問方式

兩年前寫的,歡迎大家吐槽! 轉載請註明出處。 1.   全域性變數和區域性變數的區別 具有初始值的全域性變數在原始碼連結時就被寫入所建立的PE檔案,當該檔案被執行時作業系統分析各個節中的資料填入對應的記憶體地址中,這時全域性變數就已經存在了,等PE檔案的分析和載入工

win7下啟動docker容器的訪問地址SSH連線docker虛擬環境的方法

win7下安裝docker後會為docker所在的虛擬環境分配一個IP,以後如果啟動docker容器時指定了對映埠,就可以通過這個IP訪問docker容器的應用程式。 通過docker-machine env這個命令可以檢視分配的IP,其中一行export DOCKER_

《第一本Docker書》學習筆記——第4章 使用Docker鏡像倉庫

有一個 學習筆記 mage 綁定 arch 4.3 ges tro puppet 4.2 列出鏡像 使用docker images命令: sudo docker images 本地鏡像都保存在Docker宿主機的/var/lib/docker目錄下。 也可以在/var/li