使用TLS加密通讯远程连接Docker的示例详解

默认情况下，Docker 通过非联网 UNIX 套接字运行。它还可以使用 HTTP 套接字进行可选通信。
如果需要以安全的方式通过网络访问 Docker，可以通过指定标志将 Docker 标志指向受信任的 CA 证书来启用 TLS。
在守护程序模式下，它只允许来自由该 CA 签名的证书验证的客户端的连接。在客户端模式下，它仅连接到具有该 CA 签名的证书的服务器。

# 创建CA证书目录

[root@localhost ~]# mkdir tls

[root@localhost ~]# cd tls/

# 创建CA密钥

[root@localhost tls]# openssl genrsa -aes256 -out ca-key.pem 4096

Generating RSA private key, 4096 bit long modulus

..............................................................................++

.....................................................................................................................................................................++

e is 65537 (0x10001)

Enter pass phrase for ca-key.pem:

Verifying - Enter pass phrase for ca-key.pem:

# 创建CA证书

[root@localhost tls]# openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem

Enter pass phrase for ca-key.pem:

[root@localhost tls]# ll

总用量 8

-rw-r--r--. 1 root root 3326 12月 3 17:20 ca-key.pem

-rw-r--r--. 1 root root 1765 12月 3 19:03 ca.pem

# 创建服务器私钥

[root@localhost tls]# openssl genrsa -out server-key.pem 4096

Generating RSA private key, 4096 bit long modulus

................................................................++

..................++

e is 65537 (0x10001)

[root@localhost tls]# ll

总用量 12

-rw-r--r--. 1 root root 3326 12月 3 17:20 ca-key.pem

-rw-r--r--. 1 root root 1765 12月 3 19:03 ca.pem

-rw-r--r--. 1 root root 3243 12月 3 19:03 server-key.pem

# 对私钥进行签名

[root@localhost tls]# openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr

[root@localhost tls]# ll

总用量 16

-rw-r--r--. 1 root root 3326 12月 3 17:20 ca-key.pem

-rw-r--r--. 1 root root 1765 12月 3 19:03 ca.pem

-rw-r--r--. 1 root root 1574 12月 3 19:04 server.csr

-rw-r--r--. 1 root root 3243 12月 3 19:03 server-key.pem

使用CA证书与私钥签名，输入上面设置的密码

[root@localhost tls]# openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem

Signature ok

subject=/CN=*

Getting CA Private Key

Enter pass phrase for ca-key.pem:

#生成客户端密钥

[root@localhost tls]# openssl genrsa -out key.pem 4096

Generating RSA private key, 4096 bit long modulus

....................................................................................................................++

.................................++

e is 65537 (0x10001)

#对客户端签名

[root@localhost tls]# openssl req -subj "/CN=client" -new -key key.pem -out client.csr

#创建配置文件

[root@localhost tls]# echo extendedKeyUsage=clientAuth > extfile.cnf

#签名证书

[root@localhost tls]# openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf

Signature ok

subject=/CN=client

Getting CA Private Key

Enter pass phrase for ca-key.pem:

[root@localhost tls]# ll

总用量 40

-rw-r--r--. 1 root root 3326 12月 3 17:20 ca-key.pem

-rw-r--r--. 1 root root 1765 12月 3 19:03 ca.pem

-rw-r--r--. 1 root root 17 12月 3 19:35 ca.srl

-rw-r--r--. 1 root root 1696 12月 3 19:35 cert.pem

-rw-r--r--. 1 root root 1582 12月 3 19:29 client.csr

-rw-r--r--. 1 root root 28 12月 3 19:32 extfile.cnf