前文中我们曾经介绍过《使用IDEA远程工具》连接Docker REST API,我们会发现一个问题,任何知道Docker 服务器IP、端口的第三方都可以访问这个API,非常的不安全。为了保证Docker API的安全性,我们有必要使用数字证书进行安全验证。
- 为docker服务端配置服务端证书,用于验证客户端请求
- 为访问docker 服务的客户端配置客户端证书,用于验证服务端发送的交互信息的安全性。
如果只在自己公司内部使用到数字证书,就没有必要花钱向专业的CA机构进行认证授权(价格不菲),采用自生成的CA证书在公司内部使用也是完全可以的。下图是CA证书及子证书的签发过程,请结合文章进行理解。
文章目录
一、模拟创建CA证书(中间边框的部分)
正常情况下CA机构有自己的私钥,因为我们是模拟CA机构,所以这个私钥需要我们自己创建。执行下文中的命令,输入2次密码(密码务必记住,后文中需要使用),执行完命令之后,当前目录下生成一个ca-key.pem文件(上图中红色背景代表)。
- # openssl genrsa -aes256 -out ca-key.pem 4096
- Generating RSA private key, 4096 bit long modulus
- e is 65537 (0x10001)
- Enter pass phrase for ca-key.pem:
- Verifying - Enter pass phrase for ca-key.pem:
- openssl req -new -x509 -days 3650 -key ca-key.pem -sha256 -out ca.pem
- # 国家:CN
- Country Name (2 letter code) [XX]: CN
- # 省份: 可以不填,直接回车
- State or Province Name (full name) []:
- # 地市:可以不填,直接回车
- Locality Name (eg, city) [Default City]:
- # 公司: 可以不填,直接回车
- Organization Name (eg, company) [Default Company Ltd]:
- # 组织: 可以不填,直接回车
- Organizational Unit Name (eg, section) []:
- # 服务器地址或域名,按要求填写
- Common Name (eg, your name or your server's hostname) []: 192.168.1.111
- # 邮箱联系方式,可以不填,直接回车
- Email Address []:
二、签发服务器端证书(右边蓝色背景部分)
CA证书还可以用于签发子证书(数字证书),下面我们就模拟签发一个服务端证书。仍然需要先创建一个服务器端私钥server-key.pem
- openssl genrsa -out server-key.pem 4096
- openssl req -subj "/CN=192.168.1.111" -sha256 -new -key server-key.pem -out server.csr
- echo subjectAltName = IP:192.168.1.111,IP:0.0.0.0 >> extfile.cnf
- echo extendedKeyUsage = serverAuth >> extfile.cnf
- openssl x509 -req -days 3650 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf
三、签发客户端证书(左边黄色背景的部分)
下面我们就模拟签发一个客户端证书。仍然需要先创建一个客户端私钥key.pem
- openssl genrsa -out key.pem 4096
- openssl req -subj '/CN=client' -new -key key.pem -out client.csr
- echo extendedKeyUsage = clientAuth >> extfile.cnf
- openssl x509 -req -days 3650 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
删除证书签发请求文件,已经失去用处。
- rm -v client.csr server.csr
- chmod -v 0400 ca-key.pem key.pem server-key.pem;
- chmod -v 0444 ca.pem server-cert.pem cert.pem;
- # openssl x509 -in ca.pem -noout -dates
- notBefore=Apr 10 01:17:55 2022 GMT
- notAfter=Apr 7 01:17:55 2032 GMT
然后我们为docker服务端配置证书,分别是ca.pem、server-cert.pem、server-key.pem。将这三个文件放入/etc/docker/cert/目录下。
- mkdir /etc/docker/cert/;
- cp ./ca.pem ./server-cert.pem ./server-key.pem /etc/docker/cert/;
- ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/etc/docker/cert/ca.pem --tlscert=/etc/docker/cert/server-cert.pem --tlskey=/etc/docker/cert/server-key.pem -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock
- #重启
- systemctl daemon-reload && systemctl restart docker
我们在IDEA docker插件客户端证书配置处做如下选择:“File -> Settings -> Build、Execution、Deployment -> Docker”
- Engine API URL的位置写https://:2375,记住是https,不是http,也不是tcp
- 将客户端的需要的三个证书文件ca.pem、cert.pem、key.pem放入一个目录下,并使选择该目录作为Certificates folder。
来源:https://blog.csdn.net/hanxiaotongtong/article/details/125139931
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
