之前开启了码头工人的2375远程API,接到公司安全部门的要求,需要启用授权,翻了下官方文档
保护码头工人守护进程插座
在码头工人服务器,生成CA私有和公共密钥
美元openssl genrsa aes256治疗ca-key。pem 4096 生成RSA私钥,4096位长模量 ............................................................................................................................................................................................ + + ........ + + e是65537 (0 x10001) 为ca-key.pem输入短语: 验证-为ca-key.pem输入短语: openssl要求美元- x509天365关键ca-key。pem -sha256治疗ca.pem 为ca-key.pem输入短语: 你将被要求输入信息将被整合 到你的证书请求。 你即将进入的是所谓的专有名称或一个DN。 有相当多的领域但你可以留一些空白 对于一些领域将会有一个默认值, 如果你输入的。”字段留空。 ----- 国家名称(2字母代码)(非盟): 州或省名称(全名)[状态]:昆士兰 地区名称(如城市)[]:布里斯班 组织名称(如公司)(互联网Widgits Pty Ltd):码头工人 组织单元名称(例如,部分)[]:销售 常见的名字(例如服务器FQDN或你的名字)[]:美元主机 电子邮件地址[]:Sven@home.org.au
有了CA后,可以创建一个服务器密钥和证书签名请求(CSR)
主机美元是你的服务器ip
引用>美元openssl genrsa两级服务器密钥。pem 4096 生成RSA私钥,4096位长模量 ..................................................................... + + ................................................................................................. + + e是65537 (0 x10001) 美元openssl要求主题“/CN=$主机”-sha256 -关键服务器密钥。pem治疗server.csr接着,用CA来签署公共密钥:
回声subjectAltName=DNS:主机,美元IP:主持人:美元127.0.0.1祝辞祝辞extfile.cnf $回声extendedKeyUsage=serverAuth祝辞祝辞extfile.cnf生成关键:
365美元openssl x509点播天-sha256——服务器。csr ca ca.pem凝固了的ca-key。pem \ -CAcreateserial治疗server-cert。pem -extfile extfile.cnf 签名好 主题=/CN=your.host.com 了CA私钥 为ca-key.pem输入短语:创建客户端密钥和证书签名请求:
美元openssl genrsa治疗关键。pem 4096 生成RSA私钥,4096位长模量 ......................................................... + + ................ + + e是65537 (0 x10001) 美元openssl要求主题之事/CN=客户的关键钥匙。pem治疗client.csr修改extfile.cnf:
回声extendedKeyUsage=clientAuth比;extfile-client.cnf生成签名私钥:
365美元openssl x509点播天-sha256——客户端。csr ca ca.pem凝固了的ca-key。pem \ -CAcreateserial治疗cert.pem -extfile extfile-client.cnf 签名好 主题=/CN=客户 了CA私钥 为ca-key.pem输入短语:将码头工人服务停止,然后修改码头工人服务文件
(单位)=码头工人描述应用程序容器引擎 文档=http://docs.docker.io (服务) 环境=" PATH=/opt/kube/bin:/bin:/sbin:/usr/bin:/usr/sbin” ExecStart=/opt/kube/bin/dockerd——tlsverify tlscacert=/根/码头工人/ca。pem——tlscert=/根/码头工人/server-cert。pem——tlskey=/根/码头工人/服务器密钥。pem - h unix:///var/运行/码头工人。袜子- h tcp://0.0.0.0:2375 向前ExecStartPost=/sbin/iptables - i - s 0.0.0.0/0 - j接受 ExecReload=/bin/杀- s玫瑰MAINPID美元 重启=失败 RestartSec=5 LimitNOFILE=无穷大 LimitNPROC=无穷大 LimitCORE=无穷大 委托=yes KillMode=过程 (安装) WantedBy=multi-user.target然后重启服务
systemctl daemon-reload systemctl重启码头工人。服务重启后查看服务状态:
systemctl地位docker.service ●码头工人。服务——码头工人应用程序容器引擎 加载:加载(/etc/systemd/系统/docker.service;启用;厂商预设:启用) 主动:主动(运行)自清华2019-08-08 19:22:26中科;1分钟前码头工人启用TLS实现安全配置的步骤