centos7 配置遠端ssl證書訪問docker

2022-03-07 10:47:36 字數 3249 閱讀 5279

環境:

centos linux release 7.8.2003 (core)

docker version 19.03.12

一、使用openssl生成ca、伺服器和客戶端金鑰

1、建立好資料夾,切換到該目錄

mkdir -p /etc/docker && cd /etc/docker
2、建立rsa私鑰(會提示2次輸入證書密碼,至少4位),建立後會生成乙個ca-key.pem

3、根據ca-key.pem金鑰建立ca證書(輸入一次前面的私鑰密碼),這裡是自己給自己簽發證書

openssl req -new -x509 -days 999 -key ca-key.pem -sha256 -subj "/cn=*" -out ca.pem
4、建立服務端私鑰

openssl genrsa -out server-key.pem 4096
5、建立服務端簽名請求證書檔案。

openssl req -subj "/cn=*" -sha256 -new -key server-key.pem -out server.csr
6、允許指定的ip可以連線到伺服器中的docker,多個ip用逗號分隔。把下面的2個127.0.0.1改成伺服器ip位址

echo subjectaltname = dns:127.0.0.1,ip:127.0.0.1,ip:0.0.0.0 >> extfile.cnf
7、將docker守護程式金鑰的擴充套件使用屬性設定為僅用於伺服器身份驗證

echo extendedkeyusage = serverauth >> extfile.cnf
8、建立簽名生效的服務端證書檔案(需要輸入一次前面設定的密碼)

openssl x509 -req -days 999 -sha256 -in server.csr -ca ca.pem -cakey ca-key.pem -cacreateserial -out server-cert.pem -extfile extfile.cnf
9、建立客戶端私鑰,用於客戶端遠端連線的認證

openssl genrsa -out key.pem 4096
10、建立客戶端簽名請求證書檔案

openssl req -subj "/cn=client" -new -key key.pem -out client.csr
11、建立extfile.cnf的配置檔案

echo extendedkeyusage = clientauth > extfile-client.cnf
12、建立簽名生效的客戶端證書檔案(需要輸入一次前面設定的密碼)

openssl x509 -req -days 999 -sha256 -in client.csr -ca ca.pem -cakey ca-key.pem -cacreateserial -out cert.pem -extfile extfile-client.cnf
13、刪除多餘的檔案

rm -rf ca.srl client.csr extfile.cnf extfile-client.cnf server.csr
檔案說明:ca.pem ca機構證書

ca-key.pem 根證書rsa私鑰

cert.pem 客戶端證書

key.pem 客戶私鑰

server-cert.pem 服務端證書

server-key.pem 服務端私鑰

二、配置docker支援tsl連線

vim /lib/systemd/system/docker.service
找到execstart = 開頭的一行**,把預設的

execstart=/usr/bin/dockerd -h fd:// --containerd=/run/containerd/containerd.sock
其替換為如下內容(其實是直接在後面追加 --tlsverify...)

execstart=/usr/bin/dockerd -h fd:// --containerd=/run/containerd/containerd.sock \


--tlsverify --tlscacert=/etc/docker/ca.pem \


--tlscert=/etc/docker/server-cert.pem \


--tlskey=/etc/docker/server-key.pem \


-h tcp:
三、重新整理配置,重啟docker

systemctl daemon-reload && systemctl restart docker
四、驗證遠端鏈結docker1、將/etc/docker下的ca.pem、cert.pem、key.pem複製到客戶端指定資料夾下,如圖

2、用idea驗證,api url預設的tcp改為https,填好對應的的ip位址+埠,並選擇好證書路徑,出現successful字樣說明連線成功了

3、idea直接發布docker到線上伺服器(如下圖),前提是先build好jar檔案,docker執行選項中最好加上-e tz="asia/shanghai" --restart=always

配置好後執行就可以直接把jar檔案打包發布到線上容器了

CentOS7環境Apache配置SSL

1 安裝外掛程式 yum y install mod ssl openssl 2 上傳證書 在 etc httpd下建立cert資料夾,上傳申請到的第三方證書到此資料夾 test.key test chain.crt test public.crt 3 修改配置檔案 修改配置檔案 etc httpd...

centos安裝nginx並配置SSL證書

安裝nginx的命令 sudo yum install epel release sudo yum install nginx讓nginx隨系統啟動而啟動 sudo systemctl enable nginx常用命令 啟動 nginx 停止 nginx s stop 過載配置 nginx s re...

centos7下mysql配置遠端連線

1 將 etc my.cnf 裡的 bind address 127.0.0.1 注釋掉 我們通過 netstat apn grep 3306 檢視當前mysql網路狀態資訊 root www netstat apn grep 3306 tcp 0 0 0.0.0.0 3306 0.0.0.0 li...