workdir:/ect/docker/ssl 进入到工作目录 若没有改目录 自行创建 在该目录下进行以下操作
创建ca秘钥
openssl genrsa -aes256 -out ca-key.pem 4096
创建ca证书
openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem -subj "/CN=*"
创建服务器私钥
openssl genrsa -out server-key.pem 4096
创建服务器证书签名请求 (CSR)
openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr
添加生成服务器证书的配置文件 42.192.57.35 为本人云服务器地址
echo subjectAltName = DNS:*,IP:42.192.57.35,IP:127.0.0.1 >> extfile.cnf
echo extendedKeyUsage = serverAuth >> extfile.cnf
使用配置文件 ca证书进行签名 生成服务器证书
openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf
创建客户端密钥
openssl genrsa -out key.pem 4096
创建客户端签名请求文件
openssl req -subj '/CN=client' -new -key key.pem -out client.csr
添加生成客户端证书的配置文件
echo extendedKeyUsage = clientAuth > extfile-client.cnf
使用配置文件 ca证书进行签名 生成客户端证书
openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile-client.cnf
为保护您的密钥免受意外损坏,请移除其写入权限
chmod -v 0400 ca-key.pem key.pem server-key.pem
证书可以是全世界可读的,但您可能希望删除写入权限以防止意外损坏
chmod -v 0444 ca.pem server-cert.pem cert.pem
将tls的配置添加到docker.service中
重新加载配置 并重启docker服务
systemctl daemon-reload && systemctl restart docker
使用ca.pem,cert.pem,key.pem文件测试一下本地的连接是否有效
docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H=127.0.0.1:2376 version
开启云服务器的2376防火墙端口 将ca.pem,cert.pem,key.pem复制到客户端指定目录中 使用客户端连接服务端的docker rest api
docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H=42.192.57.35:2376 version
