前置修改服务器配置，开启远程访问

[root@localhost ca]# vi /lib/systemd/system/docker.service
# 将ExecStart属性value值改为 
ExecStart=/usr/bin/dockerd -H tcp://0.0.0.0:2375 -H fd:// --containerd=/run/containerd/containerd.sock
#其中2375为外部访问端口 同时在防火墙打开端口

这里开启了docker端口进行远程访问，但并没有什么账号密码这些进行身份验证，这就代表任何人都能访问连接docker，如果需要以安全的方式通过网络访问Docker，可以通过指定该tlsverify标志并将Docker的tlscacert标志指向受信任的CA证书来启用TLS 。官方文档链接

1.创建ca文件夹，存放CA私钥和公钥

[root@localhost ~]# mkdir -p /usr/local/ca
[root@localhost ~]# cd /usr/local/ca/

2.创建密码

[root@localhost ca]# openssl genrsa -aes256 -out ca-key.pem 4096

3.依次输入密码、国家、省、市、组织名称等信息

[root@localhost ca]# openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem

4.生成server-key.pem

[root@localhost ca]# openssl genrsa -out server-key.pem 4096

5.把下面的IP换成你自己服务器外网的IP或者域名

[root@localhost ca]# openssl req -subj "/CN=192.168.11.128" -sha256 -new -key server-key.pem -out server.csr

6.配置白名单

0.0.0.0表示所有ip都可以连接(但只有拥有证书的才可以连接成功) [root@localhost ca]# echo subjectAltName = IP:192.168.11.128,IP:0.0.0.0 >> extfile.cnf

7.执行命令将Docker守护程序密钥的扩展使用属性设置为仅用于服务器身份验证

[root@localhost ca]# echo extendedKeyUsage = serverAuth >> extfile.cnf

8.执行命令，并输入之前设置的密码，生成签名证书

[root@localhost ca]# openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem \-CAcreateserial -out server-cert.pem -extfile extfile.cnf

9.生成客户端的key.pem，到时候把生成好的几个公钥私钥拷出去即可

[root@localhost ca]# openssl genrsa -out key.pem 4096

10.执行命令

[root@localhost ca]# openssl req -subj '/CN=client' -new -key key.pem -out client.csr

11.执行命令，要使密钥适合客户端身份验证，请创建扩展配置文件

[root@localhost ca]# echo extendedKeyUsage = clientAuth >> extfile.cnf

12.生成cert.pem,需要输入前面设置的密码，生成签名证书

[root@localhost ca]# openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem \-CAcreateserial -out cert.pem -extfile extfile.cnf

13.删除不需要的文件，两个证书签名请求

[root@localhost ca]# rm -v client.csr server.csr

14.修改权限，要保护您的密钥免受意外损坏，请删除其写入权限。要使它们只能被您读取，更改文件模式

[root@localhost ca]# chmod -v 0400 ca-key.pem key.pem server-key.pem
[root@localhost ca]# chmod -v 0444 ca.pem server-cert.pem cert.pem

15.归集服务器证书

[root@localhost ca]# cp server-*.pem  /etc/docker/
[root@localhost ca]# cp ca.pem /etc/docker/

16.修改Docker配置，使Docker守护程序仅接受来自提供CA信任的证书的客户端的连接

[root@localhost ca]# vi /lib/systemd/system/docker.service

将 ExecStart=/usr/bin/dockerd 替换为：

ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/etc/docker/ca.pem --tlscert=/etc/docker/server-cert.pem --tlskey=/etc/docker/server-key.pem  -H tcp://0.0.0.0:2375 -H fd:// --containerd=/run/containerd/containerd.sock

17.重新加载daemon并重启docker

[root@localhost ~]# systemctl daemon-reload 
[root@localhost ~]# systemctl restart docker

18.保存相关文件到本地

将ca.pem、key.pem、cert.pem这三个文件保存到本地

19.idea的配置

alt 到这里就配置完成了!

来源：oschina

链接：https://my.oschina.net/u/4290804/blog/4442302

标签

OpenSSL

Docker

IntelliJ IDEA

docker开启ca认证

前置 修改服务器配置，开启远程访问