码头工人启用TLS实现安全配置的步骤

  

  

之前开启了码头工人的2375远程API,接到公司安全部门的要求,需要启用授权,翻了下官方文档

  

保护码头工人守护进程插座

  


  

  

在码头工人服务器,生成CA私有和公共密钥

        美元openssl genrsa aes256治疗ca-key。pem 4096   生成RSA私钥,4096位长模量   ............................................................................................................................................................................................ + +   ........ + +   e是65537 (0 x10001)   为ca-key.pem输入短语:   验证-为ca-key.pem输入短语:      openssl要求美元- x509天365关键ca-key。pem -sha256治疗ca.pem   为ca-key.pem输入短语:   你将被要求输入信息将被整合   到你的证书请求。   你即将进入的是所谓的专有名称或一个DN。   有相当多的领域但你可以留一些空白   对于一些领域将会有一个默认值,   如果你输入的。”字段留空。   -----   国家名称(2字母代码)(非盟):   州或省名称(全名)[状态]:昆士兰   地区名称(如城市)[]:布里斯班   组织名称(如公司)(互联网Widgits Pty Ltd):码头工人   组织单元名称(例如,部分)[]:销售   常见的名字(例如服务器FQDN或你的名字)[]:美元主机   电子邮件地址[]:Sven@home.org.au      

有了CA后,可以创建一个服务器密钥和证书签名请求(CSR)

  
  

主机美元是你的服务器ip

           美元openssl genrsa两级服务器密钥。pem 4096   生成RSA私钥,4096位长模量   ..................................................................... + +   ................................................................................................. + +   e是65537 (0 x10001)      美元openssl要求主题“/CN=$主机”-sha256 -关键服务器密钥。pem治疗server.csr      

接着,用CA来签署公共密钥:

        回声subjectAltName=DNS:主机,美元IP:主持人:美元127.0.0.1祝辞祝辞extfile.cnf      $回声extendedKeyUsage=serverAuth祝辞祝辞extfile.cnf      

生成关键:

        365美元openssl x509点播天-sha256——服务器。csr ca ca.pem凝固了的ca-key。pem \   -CAcreateserial治疗server-cert。pem -extfile extfile.cnf   签名好   主题=/CN=your.host.com   了CA私钥   为ca-key.pem输入短语:      

创建客户端密钥和证书签名请求:
  

        美元openssl genrsa治疗关键。pem 4096   生成RSA私钥,4096位长模量   ......................................................... + +   ................ + +   e是65537 (0 x10001)      美元openssl要求主题之事/CN=客户的关键钥匙。pem治疗client.csr      

修改extfile.cnf:

        回声extendedKeyUsage=clientAuth比;extfile-client.cnf      

生成签名私钥:

        365美元openssl x509点播天-sha256——客户端。csr ca ca.pem凝固了的ca-key。pem \   -CAcreateserial治疗cert.pem -extfile extfile-client.cnf   签名好   主题=/CN=客户   了CA私钥   为ca-key.pem输入短语:      

将码头工人服务停止,然后修改码头工人服务文件

        (单位)=码头工人描述应用程序容器引擎   文档=http://docs.docker.io      (服务)   环境=" PATH=/opt/kube/bin:/bin:/sbin:/usr/bin:/usr/sbin”   ExecStart=/opt/kube/bin/dockerd——tlsverify tlscacert=/根/码头工人/ca。pem——tlscert=/根/码头工人/server-cert。pem——tlskey=/根/码头工人/服务器密钥。pem - h unix:///var/运行/码头工人。袜子- h tcp://0.0.0.0:2375   向前ExecStartPost=/sbin/iptables - i - s 0.0.0.0/0 - j接受   ExecReload=/bin/杀- s玫瑰MAINPID美元   重启=失败   RestartSec=5   LimitNOFILE=无穷大   LimitNPROC=无穷大   LimitCORE=无穷大   委托=yes   KillMode=过程      (安装)   WantedBy=multi-user.target      

然后重启服务

        systemctl daemon-reload   systemctl重启码头工人。服务      

重启后查看服务状态:

        systemctl地位docker.service   ●码头工人。服务——码头工人应用程序容器引擎   加载:加载(/etc/systemd/系统/docker.service;启用;厂商预设:启用)   主动:主动(运行)自清华2019-08-08 19:22:26中科;1分钟前

码头工人启用TLS实现安全配置的步骤