【Docker】2、配置SSL证书远程访问Docker

news2024/11/18 15:42:15

1、使用 openssl 生成 ca

1、创建文件夹

mkdir -p /root/docker

cd /root/docker

2、创建 RSA 私钥

会提示 2 次输入证书密码，至少 4 位，创建后会生成一个 ca-key.pem 文件

openssl genrsa -aes256 -out ca-key.pem 4096

得到 ca-key.pem 文件

3、创建 CA 证书

根据 ca-key.pem 密钥创建 CA 证书，需要输入一次前面的私钥密码，这里是自己给自己签发证书

openssl req -new -x509 -days 999 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem

得到 ca.pem 文件

4、创建服务端私钥

openssl genrsa -out server-key.pem 4096

得到 server-key.pem

5、创建服务端签名请求证书文件

openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr

得到 server.csr 文件

6、指定 IP

允许指定的 ip 可以连接到服务器中的 docker，多个 ip 用逗号分隔，把下面的 2 个 127.0.0.1 改成服务器 IP 地址

echo subjectAltName = DNS:127.0.0.1,IP:127.0.0.1,IP:0.0.0.0 >> extfile.cnf

得到 extfile.cnf 文件

7、将 Docker 守护程序密钥的扩展使用属性设置为仅用于服务器身份验证

echo extendedKeyUsage = serverAuth >> extfile.cnf

8、创建签名生效的服务端证书文件

需要输入一次前面设置的密码

openssl x509 -req -days 999 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf

得到 server-cert.pem 文件

9、创建客户端私钥

用于客户端远程连接的认证

openssl genrsa -out key.pem 4096

10、创建客户端签名请求证书文件

openssl req -subj "/CN=client" -new -key key.pem -out client.csr

得到 client.csr 文件

11、创建 extfile.cnf 的配置文件

echo extendedKeyUsage = clientAuth > extfile-client.cnf

12、创建签名生效的客户端证书文件

需要输入一次前面设置的密码

openssl x509 -req -days 999 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile-client.cnf

13、删除多余的文件

rm -rf ca.srl client.csr extfile.cnf extfile-client.cnf server.csr

我们剩下的文件有：

ca.pem，CA机构证书
ca-key.pem，根证书RSA私钥
cert.pem，客户端证书
key.pem，客户私钥
server-cert.pem，服务端证书
server-key.pem，服务端私钥

2、配置 Docker 支持 TSL 连接

vim /lib/systemd/system/docker.service

找到 ExecStart = 开头的一行代码，把默认的

ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock

追加内容如下：

ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock \
	--tlsverify --tlscacert=/etc/docker/ca.pem \
	--tlscert=/etc/docker/server-cert.pem \
	--tlskey=/etc/docker/server-key.pem \
	-H tcp://0.0.0.0:2375

3、重启 Docker

刷新配置

systemctl daemon-reload

重启 Docker

systemctl restart docker

4、远程连接 Docker

1、下载证书

将服务器上生成的 ca.pem、cert.pem、key.pem 文件下载至本地指定文件夹下

在这里插入图片描述

2、IDEA 中连接 Docker

在这里插入图片描述
使用 TCP socket 方式连接 Docker

https://192.168.52.132:2375

Certificates folder 选择下载的证书文件夹

E:\Desktop\docker

出现 Connection successful 则表示 Docker 连接成功

如您在阅读中发现不足，欢迎留言！！！

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.coloradmin.cn/o/1716224.html

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈，一经查实，立即删除！