Implementierung der One-Click-TLS-Verschlüsselung für die Docker-Remote-API

$ vi /usr/lib/systemd/system/docker.service

$ systemctl daemon-neu laden
$ systemctl Neustart Docker

#!/bin/bash
mkdir -p /root/tls/pem
DOMAIN_HOST=`ifconfig eth0 | grep "inet" | awk '{ print $2}' | sed -n '1p;1q'`
#DOMAIN_HOST=`hostname` #Wählen Sie den besten Domänennamenplan HOST=$DOMAIN_HOST
# Benutzerdefinierte Informationen PASSWORD="IhrPasswort"
LAND=CN
PROVINZ=gd
STADT=gz
ORGANISATION=dounine
GRUPPE=dg
NAME=See
SUBJ="/C=$LAND/ST=$PROVINZ/L=$STADT/O=$ORGANISATION/OU=$GRUPPE/CN=$HOST"
# Benutzerdefinierte Informationen#=================================================================================================================
#Mit diesem Formular stellen Sie sich selbst ein Zertifikat aus. Sie können eine Zertifizierungsstelle sein oder es einer Drittorganisation zur Ausstellung übergeben. #Generieren Sie den privaten RSA-Schlüssel des Stammzertifikats und verwenden Sie das Passwort als privates Schlüsselkennwort (Ausweis).
openssl genrsa -passout pass:$PASSWORT -aes256 -out /root/tls/pem/ca-key.pem 4096
# 2. Generieren Sie ein selbstsigniertes Stammzertifikat (Geschäftslizenz) mit dem privaten RSA-Schlüssel des Stammzertifikats
openssl req -new -x509 -days 365 -passin pass:$PASSWORT -key /root/tls/pem/ca-key.pem -sha256 -subj $SUBJ -out /root/tls/pem/ca.pem
#============================================================================================
#Stellen Sie dem Server ein Zertifikat aus# 1. Der Server generiert seinen eigenen privaten Schlüssel openssl genrsa -out /root/tls/pem/server-key.pem 4096
# 2. Der Server generiert ein Zertifikat (das den öffentlichen Schlüssel und die Serverinformationen enthält)
openssl req -new -sha256 -key /root/tls/pem/server-key.pem -out /root/tls/pem/server.csr -subj "/CN=$DOMAIN_HOST"
# 3. Wie verbinde ich mich mit mir? Sie können mehrere IP-Adressen festlegen und diese durch Kommas trennen echo subjectAltName=IP:$DOMAIN_HOST,IP:0.0.0.0 > /tmp/extfile.cnf
# 4. Die Zertifizierungsstelle stempelt das Zertifikat, um es wirksam zu machen openssl x509 -passin pass:$PASSWORD -req -days 365 -sha256 -in /root/tls/pem/server.csr -CA /root/tls/pem/ca.pem -CAkey /root/tls/pem/ca-key.pem -CAcreateserial -out /root/tls/pem/server-cert.pem -extfile /tmp/extfile.cnf
#============================================================================================
#Stellen Sie dem Client ein Zertifikat aus openssl genrsa -out /root/tls/pem/client-key.pem 4096
openssl req -subj '/CN=client' -new -key /root/tls/pem/client-key.pem -out /root/tls/pem/client.csr
echo extendedKeyUsage = clientAuth > /tmp/extfile.cnf
openssl x509 -passin pass:$PASSWORT -req -days 365 -sha256 -in /root/tls/pem/client.csr -CA /root/tls/pem/ca.pem -CAkey /root/tls/pem/ca-key.pem -CAcreateserial -out /root/tls/pem/client-cert.pem -extfile /tmp/extfile.cnf
#============================================================================================
# Bereinigen Sie die Datei rm -rf /root/tls/pem/ca-key.pem
rm -rf /root/tls/pem/{server,client}.csr
rm -rf /root/tls/pem/ca.srl
# Endgültige Datei# ca.pem == CA-Zertifikat# client-cert.pem == Client-Zertifikat# client-key.pem == Privater Client-Schlüssel# server-cert.pem == Server-Zertifikat# server-key.pem == Privater Server-Schlüssel

$ chmod +x tls.sh

$ vim /usr/lib/systemd/system/docker.service

		--tlsverify \
        --tlscacert=/root/tls/pem/ca.pem \
        --tlscert=/root/tls/pem/server-cert.pem \
        --tlskey=/root/tls/pem/server-key.pem \

$ systemctl daemon-neu laden
$ systemctl Neustart Docker

$ docker -H tcp://192.168.0.150:2376 version

docker --tlsverify --tlscacert=/root/tls/pem/ca.pem --tlscert=/root/tls/pem/client-cert.pem --tlskey=/root/tls/pem/client-key.pem -H tcp://192.168.0.150:2376 Version