centos7 配置远程ssl证书访问docker

环境:
CentOS Linux release 7.8.2003 (Core)
Docker version 19.03.12

一、使用openssl生成ca、服务器和客户端密钥
1、创建好文件夹,切换到该目录

mkdir -p /etc/docker && cd /etc/docker

2、创建RSA私钥(会提示2次输入证书密码,至少4位),创建后会生成一个ca-key.pem

openssl genrsa -aes256 -out ca-key.pem 4096

3、根据ca-key.pem密钥创建CA证书(输入一次前面的私钥密码),这里是自己给自己签发证书

openssl req -new -x509 -days 999 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem

4、创建服务端私钥

openssl genrsa -out server-key.pem 4096

5、创建服务端签名请求证书文件。

openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr

6、允许指定的ip可以连接到服务器中的docker,多个ip用逗号分隔。把下面的2个127.0.0.1改成服务器IP地址

echo subjectAltName = DNS:127.0.0.1,IP:127.0.0.1,IP:0.0.0.0 >> extfile.cnf

7、将Docker守护程序密钥的扩展使用属性设置为仅用于服务器身份验证

echo extendedKeyUsage = serverAuth >> extfile.cnf

8、创建签名生效的服务端证书文件(需要输入一次前面设置的密码)

openssl x509 -req -days 999 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf

9、创建客户端私钥,用于客户端远程连接的认证

openssl genrsa -out key.pem 4096

10、创建客户端签名请求证书文件

openssl req -subj "/CN=client" -new -key key.pem -out client.csr


11、创建extfile.cnf的配置文件

echo extendedKeyUsage = clientAuth > extfile-client.cnf


12、创建签名生效的客户端证书文件(需要输入一次前面设置的密码)

openssl x509 -req -days 999 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile-client.cnf


13、删除多余的文件

rm -rf ca.srl client.csr extfile.cnf extfile-client.cnf server.csr


文件说明:
ca.pem CA机构证书
ca-key.pem 根证书RSA私钥
cert.pem 客户端证书
key.pem 客户私钥
server-cert.pem 服务端证书
server-key.pem 服务端私钥

二、配置Docker支持TSL连接

vim /lib/systemd/system/docker.service

找到ExecStart = 开头的一行代码,把默认的

ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock

其替换为如下内容(其实是直接在后面追加 --tlsverify...)

ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock 
	--tlsverify --tlscacert=/etc/docker/ca.pem 
	--tlscert=/etc/docker/server-cert.pem 
	--tlskey=/etc/docker/server-key.pem 
	-H tcp://0.0.0.0:2375

三、刷新配置,重启Docker

systemctl daemon-reload && systemctl restart docker

四、验证远程链接Docker
1、将/etc/docker下的ca.pem、cert.pem、key.pem复制到客户端指定文件夹下,如图

2、用IDEA验证,API URL默认的tcp改为https,填好对应的的IP地址+端口,并选择好证书路径,出现successful字样说明连接成功了

3、IDEA直接发布docker到线上服务器(如下图),前提是先build好jar文件,docker运行选项中最好加上-e TZ="Asia/Shanghai" --restart=always
配置好后运行就可以直接把jar文件打包发布到线上容器了

【推广】 免费学中医,健康全家人
原文地址:https://www.cnblogs.com/nickchou/p/13676567.html