centos7上實現docker的安全訪問-基於CA認證

docker-ce版本：18.09.3-rc1

由於在局域網內主機進行測試，IP爲192.168.22.65，以下內容中可將所有此IP替換成自己的IP地址。

一、在docker守護進程的主機上

1、生成CA私鑰文件ca-key.pem

$ openssl genrsa -aes256 -out ca-key.pem 4096

2、生成CA公鑰文件ca.pem

$ openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem

3、基於CA文件生成server-key.pem文件

$ openssl genrsa -out server-key.pem 4096

4、基於server-key.pem文件生成server.csr文件

$ openssl req -subj "/CN=192.168.22.65" -sha256 -new -key server-key.pem -out server.csr

注意：生成過程中Common Name填寫主機IP：192.168.22.65

5、輸出subjectAltName屬性到extfile.cnf文件

$ echo subjectAltName = DNS:$HOST,IP:10.10.10.20,IP:127.0.0.1 >> extfile.cnf

注意：TLS連接可以通過域名或IP建立，所以這裏DNS:$HOST中的$HOST應填寫你的域名。但我的需求是docker主機本機和客戶端主機能夠訪問就可以了，所以我的輸出命令是：

$ echo subjectAltName = IP:192.168.22.65,IP:0.0.0.0 >> extfile.cnf

6、輸出extendedKeyUsage屬性到extfile.cnf文件

$ echo extendedKeyUsage = serverAuth >> extfile.cnf

7、生成簽名證書server-cert.pem文件

$ openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf

8、創建客戶端私鑰文件key.pem

$ openssl genrsa -out key.pem 4096

9、基於key.pem文件生成client.csr文件

$ openssl req -subj '/CN=client' -new -key key.pem -out client.csr

10、輸出extendedKeyUsage屬性到extfile-client.cnf文件

$ echo extendedKeyUsage = clientAuth > extfile-client.cnf

11、生成簽名證書cert.pem文件

$ openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile-client.cnf

12、刪除兩個csr文件和extfile文件

$ rm -v client.csr server.csr extfile.cnf extfile-client.cnf

13、修改密鑰文件權限爲只允許所有者讀取

$ chmod -v 0400 ca-key.pem key.pem server-key.pem

14、修改證書文件權限爲只讀

$ chmod -v 0444 ca.pem server-cert.pem cert.pem

15、將CA證書、服務端證書、服務端密鑰文件拷貝到/etc/docker目錄

$ cp -v ca.pem server-cert.pem server-key.pem /etc/docker

16、配置/etc/docker/daemon.json文件

{
 "tlsverify": true,
  "tlscacert": "/etc/docker/ca.pem",
  "tlscert": "/etc/docker/server-cert.pem",
  "tlskey": "/etc/docker/server-key.pem",
  "hosts": ["tcp://0.0.0.0:2376","unix:///var/run/docker.sock"],
  "registry-mirrors": ["https://docker.mirrors.ustc.edu.cn"]
}

17、將CA證書、客戶端證書、客戶端密鑰文件拷貝到/root/.docker目錄

$ cp -v ca.pem cert.pem key.pem /root/.docker

18、修改/lib/systemd/system/docker.service文件中的配置

ExecStart = /usr/bin/dockerd

19、將DOCKER_HOST和DOCKER_TLS_VERIFY變量寫入/etc/profile文件

$ echo "export DOCKER_HOST=tcp://192.168.22.65:2376" >> /etc/profile
$ echo "export DOCKER_TLS_VERIFY=1" >> /etc/profile
$ source /etc/profile

20、重新加載配置並重啓docker

$ systemctl daemon-reload && systemctl restart docker

21、驗證docker進程是否正常啓動

$ docker ps

二、windows客戶端主機用idea遠程連接docker服務器

1、同樣將CA證書、客戶端證書、客戶端密鑰文件拷貝到當前系統用戶目錄下的./docker文件夾

2、修改環境變量DOCKER_HOST和DOCKER_TLS_VERIFY

DOCKER_HOST= tcp://192.168.22.65:2376
DOCKER_TLS_VERIFY=1

3、修改idea中docker的連接信息，採用https協議連接成功即可