什么是TLS?如何实现Docker-TLS加密通讯?
文章目录
- 一、TLS概述
-
- 1.1 什么是TLS?
- 1.2 为什么要使用TLS加密
- 二、在Docker中 部署TLS
-
- 2.1 环境部署
- 2.2 hosts主机优化
- 2.3 部署流程
-
- 2.3.1 master节点上创建CA密码与CA证书
- 2.3.2 master节点上创建master与client节点证书
- 2.3.3 配置Docker service文件
- 2.4 验证
一、TLS概述
1.1 什么是TLS?
-
TLS(Transport Layer Security Protocol):传输层安全性协议,其前身安全套接层(SSL)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。
-
TLS 协议采用主从式架构模型,用于在两个应用程序间透过网络创建起安全的连线,防止在交换数据时受到窃听及篡改。
TLS优势:
- TLS协议的优势是与高层的应用层协议(如HTTP、FTP、Telnet等)无耦合:
- ①应用层协议能透明地运行在TLS协议之上,由TLS协议进行创建加密通道需要的协商和认证;
- ②应用层协议传送的数据在通过TLS协议时都会被加密,从而保证通信的私密性。
1.2 为什么要使用TLS加密
- 为了防止链路劫持、会话劫持等问题导致 Docker 通信时被中 间人攻击,c/s 两端应该通过加密方式通讯。
二、在Docker中 部署TLS
2.1 环境部署
| 主机名 | IP地址 | 部署服务 |
|---|---|---|
| master | 192.168.140.22 | docker-ce |
| client | 192.168.140.21 | docker-ce |
2.2 hosts主机优化
- 确保两台主机能互通
[root@master ~]# vi /etc/hosts
...//添加以下配置
192.168.140.22 master
192.168.140.21 client
[root@client ~]# vi /etc/hosts
...//添加以下配置
192.168.140.22 master
192.168.140.21 client
2.3 部署流程
2.3.1 master节点上创建CA密码与CA证书
- 创建 TLS 目录
[root@master ~]# mkdir TLS
[root@master ~]# cd TLS/
- 创建CA密钥
[root@master TLS]# openssl genrsa -aes256 -out ca-key.pem 4096
Generating RSA private key, 4096 bit long modulus
.....................................++
..............................................................................................++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem: //设置密码 111222
Verifying - Enter pass phrase for ca-key.pem: //确认密码
[root@master TLS]# ls
ca-key.pem
参数详解
openssl:开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听
genrsa:rsa 非对称密钥
-aes256:指定密钥长度位256位
-out ca-key.pem:创建ca-key.pem密钥文件
- 创建CA证书
[root@master TLS]# openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem
Enter pass phrase for ca-key.pem: //输入密码111222
[root@master TLS]# ls
ca-key.pem ca.pem //注意此ca.pem证书是官方颁发的
参数详解
req -new:请求创建新的证书
-x509:证书的一个参数
-days:证书周期是1000天
-key:指定密钥文件
-sha256:哈希验证
-subj “/CN=*”:指定项目名称
-out ca.pem:产生出ca证书
2.3.2 master节点上创建master与client节点证书
- 创建证书步骤
通过在master服务端上创建tls密钥证书,再下发给客户端,客户端通过私钥访问容器,这样就保证的docker通讯的安全性
CA证书只是一个官方认证的证书,接下来要创建master、client节点的证书
此时创建证书有三步:
1.设置私钥 确保安全加密
2.私钥签名 确保身份真实不可抵赖
3.制作证书
注意:csr是一个签名文件
- 创建master服务端证书
#首先创建私钥
[root@master TLS]# openssl genrsa -out server-key.pem 4096
Generating RSA private key, 4096 bit long modulus
.....................................++
....................................................................................................++
e is 65537 (0x10001)
#然后签名私钥
[root@master TLS]# openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr
//使用server-key.pem 密钥文件进行签名,生成签名文件
//server.csr 签名文件
[root@master TLS]# ls
ca-key.pem ca.pam server.csr server-key.pem
#使用CA证书与私钥证书签名
[root@master TLS]# openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pemSignature ok
subject=/CN=*
Getting CA Private Key
Enter pass phrase for ca-key.pem: //输入密码111222
[root@master TLS]# ls
ca-key.pem ca.pem ca.srl server-cert.pem server.csr server-key.pem
参数详解
openssl x509:使用openssl方式生成 509 证书
-req :请求
-days 1000:有效期天数
-sha256:哈希值验证
-in server.csr :导入签名文件
-CA ca.pem :加入CA官方授权的证书
-CAkey ca-key.pem:加入CA官方的密钥
-CAcreateserial -out server-cert.pem:创建服务端的证书
- 创建客户端证书
客户端的证书也是要由服务端进行申请
#创建客户端密钥
[root@master TLS]# openssl genrsa -out client-key.pem 4096
Generating RSA private key, 4096 bit long modulus
.............................................................................................................................................................................................................................................................................................++
..........................................................................................................................++
e is 65537 (0x10001)
[root@master TLS]# ls
ca-key.pem ca.pem ca.srl client-key.pem server-cert.pem server.csr server-key.pem
#使用密钥进行签名,生成客户端签名文件
[root@master TLS]# openssl req -subj "/CN=client" -new -key client-key.pem -out client.csr
[root@master TLS]# ls
ca-key.pem ca.pem ca.srl client.csr client-key.pem server-cert.pem server.csr server-key.pem
- 创建配置文件
区分服务端和客户端
[root@master TLS]# echo extendedKeyUsage=clientAuth > extfile.cnf
[root@master TLS]# ls
ca-key.pem ca.pem ca.srl client.csr client-key.pem extfile.cnf server-cert.pem server.csr server-key.pem
- 基于CA证书,CA秘钥生成签名证书,然后删除多余文件
[root@master TLS]# openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
Signature ok
subject=/CN=client
Getting CA Private Key
Enter pass phrase for ca-key.pem: //输入密码111222
[root@master TLS]# ls
ca-key.pem ca.pem ca.srl cert.pem client.csr client-key.pem extfile.cnf server-cert.pem server.csr server-key.pem
[root@master TLS]# rm -rf ca.srl client.csr extfile.cnf server.csr //删除多余文件
[root@master TLS]# ls
ca-key.pem ca.pem cert.pem client-key.pem server-cert.pem server-key.pem
2.3.3 配置Docker service文件
[root@master TLS]# vim /usr/lib/systemd/system/docker.service
...//注释掉该行,并在其下面添加以下配置
#ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/root/TLS/ca.pem --tlscert=/root/TLS/server-cert.pem --tlskey=/root/TLS/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock
#参数解释:--tls 加密通讯。指定/tls目录下的证书。指定使用tcp访问方式,对外开启端口2376(使用unix通讯文件)
- 重载参数/进程、重启服务
[root@master TLS]# sudo systemctl daemon-reload
[root@master TLS]# sudo systemctl restart docker
- 将master上 /tls中的 ca.pem、cert.pem、client-key.pem 推送到客户端/etc/docker目录下
scp ca.pem root@192.168.140.21:/etc/docker/
scp cert.pem root@192.168.140.21:/etc/docker/
scp client-key.pem root@192.168.140.21:/etc/docker/
2.4 验证
- 首先服务端关闭核心防护、清空防火墙规则;客户端关闭核心防护
master服务端
[root@master TLS]# iptables -F
[root@master TLS]# setenforce 0
setenforce: SELinux is disabled
客户端
[root@client ~]# setenforce 0
- 在master服务端随意下载一个镜像文件
[root@master TLS]# docker pull nginx
[root@master TLS]# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
nginx latest f6d0b4767a6c 2 months ago 133MB
- 在客户端以TCP访问的形式查询master镜像列表
[root@client docker]# docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=client-key.pem -H tcp://master:2376 images
REPOSITORY TAG IMAGE ID CREATED SIZE
nginx latest f6d0b4767a6c 2 months ago 133MB
[root@client docker]# docker --tlsverify --tlscacert=ca.pam --tlscert=cert.pem --tlskey=client-key.pem -H tcp://master:2376 ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
参数详解
–tlsverify :TLS 证书
–tlscacert=ca.pem:CA官方颁发的ca证书
–tlscert=cert.pem:客户端证书
–tlskey=key.pem:客户端密钥证书
-H tcp://master:2376 images:使用tcp 通讯方式查询镜像列表