linux 安装docker
curl -sSL https://get.daocloud.io/docker | sh
启用docker
systemctl start docker
docker系统自启
systemctl enable docker
进入指定目录
cd /etc/docker
创建ssl文件夹并进入
mkdir ssl
cd ssl
创建ca秘钥
openssl genrsa -aes256 -out ca-key.pem 4096
创建ca证书
openssl req -new -x509 -days 36500 -key ca-key.pem -sha256 -out ca.pem -subj "/CN=*"
创建服务器私钥
openssl genrsa -out server-key.pem 4096
创建服务器证书签名请求 (CSR)
openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr
添加生成服务器证书的配置文件 42.192.57.35 为本人云服务器地址
echo subjectAltName = DNS:*,IP:42.192.57.35,IP:127.0.0.1 >> extfile.cnf
echo extendedKeyUsage = serverAuth >> extfile.cnf
使用配置文件 ca证书进行签名 生成服务器证书
openssl x509 -req -days 36500 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf
创建客户端密钥
openssl genrsa -out key.pem 4096
创建客户端签名请求文件
openssl req -subj '/CN=client' -new -key key.pem -out client.csr
添加生成客户端证书的配置文件
echo extendedKeyUsage = clientAuth > extfile-client.cnf
使用配置文件 ca证书进行签名 生成客户端证书
openssl x509 -req -days 36500 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile-client.cnf
为保护您的密钥免受意外损坏,请移除其写入权限
chmod -v 0400 ca-key.pem key.pem server-key.pem
证书可以是全世界可读的,但您可能希望删除写入权限以防止意外损坏
chmod -v 0444 ca.pem server-cert.pem cert.pem
docker 添加tls配置
vi /usr/lib/systemd/system/docker.service
注释内容
#ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock
在上方添加一行
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/etc/docker/ssl/ca.pem --tlscert=/etc/docker/ssl/server-cert.pem --tlskey=/etc/docker/ssl/server-key.pem -H tcp://0.0.0.0:2376 -H fd:// --containerd=/run/containerd/containerd.sock
重新加载docker配置 并重新启动
systemctl daemon-reload
systemctl restart docker
需要开启2376端口 将ssl文件内容全部复制到本地 使用本地portainer 连接远程docker tls
