Docker配置SSL证书实现远程访问
36人参与 • 2025-02-15 • 云虚拟主机
1、使用 openssl 生成 ca
- 1、创建文件夹
mkdir -p /root/docker
cd /root/docker
- 2、创建 rsa 私钥
会提示 2 次输入证书密码,至少 4 位,创建后会生成一个 ca-key.pem 文件
openssl genrsa -aes256 -out ca-key.pem 4096
得到 ca-key.pem 文件
- 3、创建 ca 证书
根据 ca-key.pem 密钥创建 ca 证书,需要输入一次前面的私钥密码,这里是自己给自己签发证书
openssl req -new -x509 -days 999 -key ca-key.pem -sha256 -subj "/cn=*" -out ca.pem
得到 ca.pem 文件
- 4、创建服务端私钥
openssl genrsa -out server-key.pem 4096
得到 server-key.pem
- 5、创建服务端签名请求证书文件
openssl req -subj "/cn=*" -sha256 -new -key server-key.pem -out server.csr
得到 server.csr 文件
- 6、指定 ip
允许指定的 ip 可以连接到服务器中的 docker,多个 ip 用逗号分隔,把下面的 2 个 127.0.0.1 改成服务器 ip 地址
echo subjectaltname = dns:127.0.0.1,ip:127.0.0.1,ip:0.0.0.0 >> extfile.cnf
得到 extfile.cnf 文件
- 7、将 docker 守护程序密钥的扩展使用属性设置为仅用于服务器身份验证
echo extendedkeyusage = serverauth >> extfile.cnf
- 8、创建签名生效的服务端证书文件
需要输入一次前面设置的密码
openssl x509 -req -days 999 -sha256 -in server.csr -ca ca.pem -cakey ca-key.pem -cacreateserial -out server-cert.pem -extfile extfile.cnf
得到 server-cert.pem 文件
- 9、创建客户端私钥
用于客户端远程连接的认证
openssl genrsa -out key.pem 4096
- 10、创建客户端签名请求证书文件
openssl req -subj "/cn=client" -new -key key.pem -out client.csr
得到 client.csr 文件
- 11、创建 extfile.cnf 的配置文件
echo extendedkeyusage = clientauth > extfile-client.cnf
- 12、创建签名生效的客户端证书文件
需要输入一次前面设置的密码
openssl x509 -req -days 999 -sha256 -in client.csr -ca ca.pem -cakey ca-key.pem -cacreateserial -out cert.pem -extfile extfile-client.cnf
- 13、删除多余的文件
rm -rf ca.srl client.csr extfile.cnf extfile-client.cnf server.csr
我们剩下的文件有:
ca.pem,ca机构证书
ca-key.pem,根证书rsa私钥
cert.pem,客户端证书
key.pem,客户私钥
server-cert.pem,服务端证书
server-key.pem,服务端私钥
2、配置 docker 支持 tsl 连接
vim /lib/systemd/system/docker.service
找到 execstart = 开头的一行代码,把默认的
execstart=/usr/bin/dockerd -h fd:// --containerd=/run/containerd/containerd.sock
追加内容如下:
execstart=/usr/bin/dockerd -h fd:// --containerd=/run/containerd/containerd.sock \ --tlsverify --tlscacert=/etc/docker/ca.pem \ --tlscert=/etc/docker/server-cert.pem \ --tlskey=/etc/docker/server-key.pem \ -h tcp://0.0.0.0:2375
3、重启 docker
- 刷新配置
systemctl daemon-reload
- 重启 docker
systemctl restart docker
4、远程连接 docker
- 1、下载证书
将服务器上生成的 ca.pem、cert.pem、key.pem 文件下载至本地指定文件夹下
- 2、idea 中连接 docker
使用 tcp socket 方式连接 docker
https://192.168.52.132:2375
- certificates folder 选择下载的证书文件夹
e:\desktop\docker
出现 connection successful 则表示 docker 连接成功
到此这篇关于docker配置ssl证书实现远程访问的文章就介绍到这了,更多相关docker ssl远程访问 内容请搜索代码网以前的文章或继续浏览下面的相关文章希望大家以后多多支持代码网!
赞 (0)
打赏
微信扫一扫
微信扫一扫
您想发表意见!!点此发布评论
发表评论