Schritte zum Aktivieren von TLS in Docker für eine sichere Konfiguration

$ openssl genrsa -aes256 -out ca-key.pem 4096
Generieren eines privaten RSA-Schlüssels, 4096 Bit langes Modul
............................................................................................................................................................................................................++
........++
e ist 65537 (0x10001)
Geben Sie die Passphrase für ca-key.pem ein:
Überprüfen – Geben Sie die Passphrase für ca-key.pem ein:

$ openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
Geben Sie die Passphrase für ca-key.pem ein:
Sie werden nun aufgefordert, Informationen einzugeben, die
in Ihre Zertifikatsanforderung.
Was Sie jetzt eingeben, ist ein sogenannter Distinguished Name oder DN.
Es gibt eine ganze Reihe von Feldern, aber Sie können einige leer lassen
Für einige Felder gibt es einen Standardwert.
Wenn Sie „.“ eingeben, bleibt das Feld leer.
-----
Ländername (2-Buchstaben-Code) [AU]:
Name des Staates oder der Provinz (vollständiger Name) [Some-State]:Queensland
Ortsname (z. B. Stadt) []:Brisbane
Name der Organisation (z. B. Unternehmen) [Internet Widgits Pty Ltd]:Docker Inc
Name der Organisationseinheit (z. B. Abschnitt) []:Verkauf
Allgemeiner Name (z. B. Server-FQDN oder IHR Name) []:$HOST
E-Mail-Adresse []:[email protected]

$ openssl genrsa -out server-key.pem 4096
Generieren eines privaten RSA-Schlüssels, 4096 Bit langes Modul
....................................................................................................++
.................................................................................................................++
e ist 65537 (0x10001)

$ openssl req -subj "/CN=$HOST" -sha256 -new -key server-key.pem -out server.csr

$ echo subjectAltName = DNS:$HOST,IP:$HOST:127.0.0.1 >> extfile.cnf

 $ echo extendedKeyUsage = serverAuth >> extfile.cnf

$ openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \
 -CAcreateserial -out server-cert.pem -extfile extfile.cnf
Unterschrift ok
Betreff=/CN=Ihr.Host.com
Abrufen des privaten CA-Schlüssels
Geben Sie die Passphrase für ca-key.pem ein:

$ openssl genrsa -out key.pem 4096
Generieren eines privaten RSA-Schlüssels, 4096 Bit langes Modul
................................................................++
................++
e ist 65537 (0x10001)

$ openssl req -subj '/CN=client' -new -key key.pem -out client.csr

echo extendedKeyUsage = clientAuth > extfile-client.cnf

$ openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \
 -CAcreateserial -out cert.pem -extfile extfile-client.cnf
Unterschrift ok
Betreff=/CN=Kunde
Abrufen des privaten CA-Schlüssels
Geben Sie die Passphrase für ca-key.pem ein:

[Einheit]
Beschreibung=Docker-Anwendungscontainer-Engine
Dokumentation=http://docs.docker.io

[Service]
Umgebung="PFAD=/opt/kube/bin:/bin:/sbin:/usr/bin:/usr/sbin"
ExecStart=/opt/kube/bin/dockerd --tlsverify --tlscacert=/root/docker/ca.pem --tlscert=/root/docker/server-cert.pem --tlskey=/root/docker/server-key.pem -H unix:///var/run/docker.sock -H tcp://0.0.0.0:2375
ExecStartPost=/sbin/iptables -I WEITER -s 0.0.0.0/0 -j AKZEPTIEREN
ExecReload=/bin/kill -s HUP $MAINPID
Neustart=bei Fehler
NeustartSec=5
LimitNOFILE=unendlich
LimitNPROC=unendlich
LimitCORE=unendlich
Delegieren=ja
KillMode=Prozess

[Installieren]
WantedBy=Mehrbenutzer.Ziel

systemctl daemon-reload
systemctl Neustart docker.service

systemctl status docker.service
● docker.service – Container-Engine für Docker-Anwendungen
  Geladen: geladen (/etc/systemd/system/docker.service; aktiviert; Vendor-Vorgabe: aktiviert)
  Aktiv: aktiv (läuft) seit Donnerstag, 08.08.2019, 19:22:26 CST; vor 1 Minute

docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H=$HOST:2375 Version kann verbunden werden

DefaultDockerClientConfig.Builder Builder =
        DefaultDockerClientConfig.createDefaultConfigBuilder()
          .withDockerHost("tcp://" + server + ":2375")
          .withApiVersion("1.30");
      wenn (containerConfiguration.getDockerTlsVerify()) {
        Builder = Builder.mitDockerTlsVerify(true)
          .withDockerCertPath("E:\\docker\\");
      }
  gibt DockerClientBuilder.getInstance(builder.build()).build() zurück