文章目录

一、TLS概述
- 1.1 什么是TLS？
- 1.2 为什么要使用TLS加密
二、在Docker中部署TLS

一、TLS概述

1.1 什么是TLS？

TLS（Transport Layer Security Protocol）：传输层安全性协议，其前身安全套接层（SSL）是一种安全协议，目的是为互联网通信提供安全及数据完整性保障。
TLS 协议采用主从式架构模型，用于在两个应用程序间透过网络创建起安全的连线，防止在交换数据时受到窃听及篡改。

TLS优势：

TLS协议的优势是与高层的应用层协议（如HTTP、FTP、Telnet等）无耦合：
- ①应用层协议能透明地运行在TLS协议之上，由TLS协议进行创建加密通道需要的协商和认证；
- ②应用层协议传送的数据在通过TLS协议时都会被加密，从而保证通信的私密性。

1.2 为什么要使用TLS加密

为了防止链路劫持、会话劫持等问题导致 Docker 通信时被中间人攻击，c/s 两端应该通过加密方式通讯。

二、在Docker中部署TLS

2.1 环境部署

主机名	IP地址	部署服务
master	192.168.140.22	docker-ce
client	192.168.140.21	docker-ce

2.2 hosts主机优化

确保两台主机能互通

[root@master ~]# vi /etc/hosts
...//添加以下配置
192.168.140.22 master
192.168.140.21 client

[root@client ~]# vi /etc/hosts
...//添加以下配置
192.168.140.22 master
192.168.140.21 client

在这里插入图片描述

2.3 部署流程

2.3.1 master节点上创建CA密码与CA证书

[root@master ~]# mkdir TLS
[root@master ~]# cd TLS/

创建CA密钥

[root@master TLS]# openssl genrsa -aes256 -out ca-key.pem 4096
Generating RSA private key, 4096 bit long modulus
.....................................++
..............................................................................................++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem:						//设置密码 111222
Verifying - Enter pass phrase for ca-key.pem:			//确认密码
[root@master TLS]# ls
ca-key.pem

参数详解

openssl：开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听

genrsa：rsa 非对称密钥

-aes256：指定密钥长度位256位

-out ca-key.pem：创建ca-key.pem密钥文件

创建CA证书

[root@master TLS]# openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem
Enter pass phrase for ca-key.pem:		//输入密码111222
[root@master TLS]# ls
ca-key.pem  ca.pem		//注意此ca.pem证书是官方颁发的

参数详解

req -new：请求创建新的证书

-x509：证书的一个参数

-days：证书周期是1000天

-key：指定密钥文件

-sha256：哈希验证

-subj “/CN=*”：指定项目名称

-out ca.pem：产生出ca证书

2.3.2 master节点上创建master与client节点证书

创建证书步骤

通过在master服务端上创建tls密钥证书，再下发给客户端，客户端通过私钥访问容器，这样就保证的docker通讯的安全性

CA证书只是一个官方认证的证书，接下来要创建master、client节点的证书

此时创建证书有三步：
1.设置私钥 确保安全加密
2.私钥签名 确保身份真实不可抵赖
3.制作证书
注意：csr是一个签名文件

创建master服务端证书

#首先创建私钥
[root@master TLS]# openssl genrsa -out server-key.pem 4096
Generating RSA private key, 4096 bit long modulus
.....................................++
....................................................................................................++
e is 65537 (0x10001)

#然后签名私钥
[root@master TLS]# openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr
//使用server-key.pem 密钥文件进行签名，生成签名文件
//server.csr 签名文件

[root@master TLS]# ls
ca-key.pem  ca.pam  server.csr  server-key.pem

#使用CA证书与私钥证书签名
[root@master TLS]# openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pemSignature ok
subject=/CN=*
Getting CA Private Key
Enter pass phrase for ca-key.pem:		//输入密码111222
[root@master TLS]# ls
ca-key.pem  ca.pem  ca.srl  server-cert.pem  server.csr  server-key.pem

参数详解

openssl x509：使用openssl方式生成 509 证书

-req ：请求

-days 1000：有效期天数

-sha256：哈希值验证

-in server.csr ：导入签名文件

-CA ca.pem ：加入CA官方授权的证书

-CAkey ca-key.pem：加入CA官方的密钥

-CAcreateserial -out server-cert.pem：创建服务端的证书

创建客户端证书
客户端的证书也是要由服务端进行申请

#创建客户端密钥
[root@master TLS]# openssl genrsa -out client-key.pem 4096
Generating RSA private key, 4096 bit long modulus
.............................................................................................................................................................................................................................................................................................++
..........................................................................................................................++
e is 65537 (0x10001)
[root@master TLS]# ls
ca-key.pem  ca.pem  ca.srl  client-key.pem  server-cert.pem  server.csr  server-key.pem

#使用密钥进行签名，生成客户端签名文件
[root@master TLS]# openssl req -subj "/CN=client" -new -key client-key.pem -out client.csr
[root@master TLS]# ls
ca-key.pem  ca.pem  ca.srl  client.csr  client-key.pem  server-cert.pem  server.csr  server-key.pem

创建配置文件
区分服务端和客户端

[root@master TLS]# echo extendedKeyUsage=clientAuth > extfile.cnf
[root@master TLS]# ls
ca-key.pem  ca.pem  ca.srl  client.csr  client-key.pem  extfile.cnf  server-cert.pem  server.csr  server-key.pem

基于CA证书，CA秘钥生成签名证书，然后删除多余文件

[root@master TLS]# openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
Signature ok
subject=/CN=client
Getting CA Private Key
Enter pass phrase for ca-key.pem:		//输入密码111222
[root@master TLS]# ls
ca-key.pem  ca.pem  ca.srl  cert.pem  client.csr  client-key.pem  extfile.cnf  server-cert.pem  server.csr  server-key.pem

[root@master TLS]# rm -rf ca.srl client.csr extfile.cnf server.csr		//删除多余文件
[root@master TLS]# ls
ca-key.pem  ca.pem  cert.pem  client-key.pem  server-cert.pem  server-key.pem

2.3.3 配置Docker service文件

[root@master TLS]# vim /usr/lib/systemd/system/docker.service
...//注释掉该行，并在其下面添加以下配置
#ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/root/TLS/ca.pem --tlscert=/root/TLS/server-cert.pem --tlskey=/root/TLS/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock

#参数解释：--tls 加密通讯。指定/tls目录下的证书。指定使用tcp访问方式，对外开启端口2376（使用unix通讯文件）

重载参数/进程、重启服务

[root@master TLS]# sudo systemctl daemon-reload
[root@master TLS]# sudo systemctl restart docker

将master上 /tls中的 ca.pem、cert.pem、client-key.pem 推送到客户端/etc/docker目录下

scp ca.pem root@192.168.140.21:/etc/docker/

scp cert.pem root@192.168.140.21:/etc/docker/

scp client-key.pem root@192.168.140.21:/etc/docker/

2.4 验证

首先服务端关闭核心防护、清空防火墙规则；客户端关闭核心防护

master服务端
[root@master TLS]# iptables -F
[root@master TLS]# setenforce 0
setenforce: SELinux is disabled

客户端
[root@client ~]# setenforce 0

在master服务端随意下载一个镜像文件

[root@master TLS]# docker pull nginx

[root@master TLS]# docker images
REPOSITORY   TAG       IMAGE ID       CREATED        SIZE
nginx        latest    f6d0b4767a6c   2 months ago   133MB

在客户端以TCP访问的形式查询master镜像列表

[root@client docker]# docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=client-key.pem -H tcp://master:2376 images
REPOSITORY   TAG       IMAGE ID       CREATED        SIZE
nginx        latest    f6d0b4767a6c   2 months ago   133MB

[root@client docker]# docker --tlsverify --tlscacert=ca.pam --tlscert=cert.pem --tlskey=client-key.pem -H tcp://master:2376 ps
CONTAINER ID   IMAGE     COMMAND   CREATED   STATUS    PORTS     NAMES

参数详解

–tlsverify ：TLS 证书

–tlscacert=ca.pem：CA官方颁发的ca证书

–tlscert=cert.pem：客户端证书

–tlskey=key.pem：客户端密钥证书

-H tcp://master:2376 images：使用tcp 通讯方式查询镜像列表

什么是TLS？如何实现Docker-TLS加密通讯？

文章目录

一、TLS概述

1.1 什么是TLS？

1.2 为什么要使用TLS加密

二、在Docker中部署TLS

2.1 环境部署

2.2 hosts主机优化

2.3 部署流程

2.3.1 master节点上创建CA密码与CA证书

2.3.2 master节点上创建master与client节点证书

2.3.3 配置Docker service文件

2.4 验证

猜你喜欢

什么是TLS？如何实现Docker-TLS加密通讯？

文章目录

一、TLS概述

1.1 什么是TLS？

1.2 为什么要使用TLS加密

二、在Docker中 部署TLS

2.1 环境部署

2.2 hosts主机优化

2.3 部署流程

2.3.1 master节点上创建CA密码与CA证书

2.3.2 master节点上创建master与client节点证书

2.3.3 配置Docker service文件

2.4 验证

猜你喜欢

二、在Docker中部署TLS