说明
如果你的服务器是公网IP,并且开放了docker的远程访问,如果没有进行保护是非常危险的,任何人都可以向你的docker中推送镜像、运行实例。我曾开放过阿里云服务器中docker的远程访问权限,在没有开启保护的状态下,几小时内就被植入了挖矿程序,导致CPU的占用率一直在100%,最终只能将服务器重置。
接下来我们介绍一下如何利用CA证书,安全的开启Docker的远程,通过TLS进行加密访问。
本文适用于部署在公网的服务器(包括云服务器),安全的开启docker远程访问。本文并不适用于局域网或虚拟机的加密。
详细步骤
下面我们介绍一个如何配置CA证书
1、先创建一个目录存放ca私钥和公钥
mkdir -p /usr/local/ca
2、进入此目录 准备生成密钥
cd /usr/local/ca
3、生成RSA私钥
运行下面命令时,会提示输入密码,输入两次一致即可。
openssl genrsa -aes256 -out ca-key.pem 4096
4、以上面生成的RSA密钥创建证书
运行此命令后,会提示输入国家、省、市、组织名称、单位、邮箱等资料。
国家只能是两位,例如:CN,其他的随便填写即可。
openssl req -new -x509 -days 3650 -key ca-key.pem -sha256 -out ca.pem
5、生服务端的RSA私钥
openssl genrsa -out server-key.pem 4096
6、生成服务端的证书签名
/CN=服务器IP 此处配置你的服务器IP,这里只能是公网IP或域名!
openssl req -subj "/CN=服务器IP" -sha256 -new -key server-key.pem -out server.csr
7、配置白名单
DNS: 此处配置你的服务器IP,这里只能是公网IP或域名!
IP: 此处配置允许访问的IP,可以配置多个,以逗号间隔即可。此处也同样是支支持公网IP。如果允许任何携带证书的人访问,直接修改为0.0.0.0即可
echo subjectAltName = DNS:服务器域名,IP:0.0.0.0 >> extfile.cnf
注意这里如果用服务器ip,则要将DNS改为IP,既:
echo subjectAltName = IP:服务器IP,IP:0.0.0.0 >> extfile.cnf
8、为extfile.cnf追加属性
此属性用于服务器身份验证
echo extendedKeyUsage = serverAuth >> extfile.cnf
9、生成签名过的客户端证书
期间会要求输入密码,输入和上面一致即可
openssl x509 -req -days 3650 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \
-CAcreateserial -out server-cert.pem -extfile extfile.cnf
10、生成客户端的RSA私钥
openssl genrsa -out key.pem 4096
11、生成client.csr
openssl req -subj '/CN=client' -new -key key.pem -out client.csr
12、为extfile.cnf添加认证参数
echo extendedKeyUsage = clientAuth >> extfile.cnf
13、为extfile-client.cnf添加认证参数
echo extendedKeyUsage = clientAuth > extfile-client.cnf
14、生成签名证书
openssl x509 -req -days 3650 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \
-CAcreateserial -out cert.pem -extfile extfile-client.cnf
15、删除无用的配置文件
rm -v client.csr server.csr extfile.cnf extfile-client.cnf
16、将服务端证书放到docker的目录
cp server-*.pem /etc/docker/
17、将服务端证书放到docker的目录
cp ca.pem /etc/docker/
18、修改docker配置文件
vi /lib/systemd/system/docker.service
19、替换ExecStart属性
ExecStart=/usr/bin/dockerd \
--tlsverify --tlscacert=/usr/local/ca/ca.pem \
--tlscert=/usr/local/ca/server-cert.pem \
--tlskey=/usr/local/ca/server-key.pem \
-H tcp://0.0.0.0:2375 \
-H unix:///var/run/docker.sock
20、更新配置文件并重启docker
systemctl daemon-reload && systemctl restart docker
21、对docker端口2375放行 如果是云服务器 需要在其管理页面中对应开启端口访问
firewall-cmd --zone=public --add-port=2375/tcp
22、测试
访问https://ip:2375/version,如果提示需要证书即标识配置成功
23、使用IDEA连接
将ca-key.pem、ca.pem、cert.pem、key.pem四个文件拷贝到要访问docker的客户端。
在IDEA中,将Engine API URL中的TCP协议修改为https
在IDEA的Certificates folder中配置拷贝了四个文件的目录 点击apply,出现Connection successful即为成功!