Docker Data Center系列(五)- 使用自定义的TLS安全认证
本系列文章演示如何搭建一个mini的云平台和DevOps实践环境。
基于这套实践环境,能够部署微服务架构的应用栈,演练提高DevOps实践能力。html
1 名词说明
- CSR: Certificate Signing Request,即证书签名请求, 这个并非证书,而是向权威证书颁发机构得到签名证书的申请,其核心内容是一个公钥;
- CRT:证书文件,certificate的缩写,能够经过修改扩展名的方式与PEM文件互相转换;
- PEM:X.509证书的一种编码格式,内容以"-----BEGIN"开头,以"-----END"结尾,内容是BASE64编码;
- 服务器: 这里是指安装UCP/DTR的主机,或者做为Docker Remote API场景中被访问的服务器端主机,本文中UCP服务器IP为192.168.1.101,DTR服务器IP为192.168.1.102;
- 客户端: 这里是指须要访问UCP/DTR的主机,或者做为Docker Remote API场景中发起访问请求的客户端主机,本文中客户端IP为192.168.1.103, 192.168.1.104。
2 生成自签名CA证书
2.1 编辑CA配置文件
$ vi /etc/pki/tls/openssl.cnf [ policy_match ] # 除了country name,其它都改为optional [ req_distinguished_name ] # CommonName设置为IROOTECH CA,这个会显示为证书的【颁发者】和【颁发给】的属性值
2.2 生成CA私钥
建立到CentOS系统默认的CA私钥文件位置:浏览器
$ cd /etc/pki/CA/ $ openssl genrsa -out private/cakey.pem 2048
2.3 生成CA证书
建立到CentOS系统默认的CA证书文件位置:安全
$ openssl req -new -x509 -key private/cakey.pem -out cacert.pem
若是步骤2.1设置好了默认值,一路回车便可完成。服务器
3 生成服务器证书
3.1 生成服务器私钥
建立到自定义文件夹:架构
$ mkdir /home/tls/ $ openssl genrsa -out server.key 2048
3.2 生成服务器证书签名请求
建立到自定义文件夹:微服务
$ mkdir /home/tls/ $ openssl req -new -key server.key -out server.csr
commonName(CN)设置为UCP(DTR)所在主机名或FQDN。也能够设置为一个泛域名(*.yourcompany.com),其它都使用默认值。ui
3.3 生成服务器证书
通常状况下,服务器证书和CA证书不在同一个服务器上,因此须要将3.2节生成的服务器证书签名请求发送到CA证书所在服务器上。
建立到自定义文件夹:编码
$ mkdir /home/tls/ $ openssl ca -in server.csr -out server.pem
注意:生成服务器证书过程默认使用了-cert cacert.pem -keyfile cakey.pem,这两个文件就是2.2和2.3两步生成的,位于/etc/pki/CA下的CA密钥和CA证书。代理
4 如何使用
如今咱们已经生成了必须的几个文件:code
- /etc/pki/CA/cacert.pem
- /home/tls/server.pem
- /home/tls/server.key
4.1 UCP设置证书
在UCP Web UI中, 导航到管理员设置页面,在左侧菜单中,单击证书
依次上传:
- CA证书:
cacert.pem; - 服务器证书:
server.pem;
- 私钥:
server.key。
点击保存
4.2 DTR设置证书
在DTR Web UI中,导航到系统页面, 在右侧页面中,点击常规,定位到域和代理,点击显示TLS设置
依次上传:
- CA证书:
cacert.pem; - 服务器证书:
server.pem;
- 私钥:
server.key。
点击保存
4.3 浏览器导入CA证书
若是但愿本身本地浏览器访问UCP Web UI时不显示安全证书警告,须要以下操做:
- a. 将cacert.pem文件复制到本地,而后修改扩展名为.crt;
- b. 右键点击,在弹出窗口中选择【安装证书】;
- c. 导出【证书导入向导】,点击【下一步】;
- d. 单选框选择【将全部的证书放入下列存储】,点击【浏览】按钮,弹出窗口中选择【受信任的根证书颁发机构】,点击【确认】,点击【下一步】;
- e. 点击【完成】。
系列文章
Docker Data Center系列(一)- 快速搭建云原生架构的实践环境
Docker Data Center系列(二)- UCP安装指南
Docker Data Center系列(三)- DTR安装指南
Docker Data Center系列(四)- 离线安装UCP和DTR
Docker Data Center系列(五)- 使用自定义的TLS安全认证
- 1. Docker Data Center系列(二)- UCP安装指南
- 2. Docker Data Center系列(三)- DTR安装指南
- 3. Docker Data Center系列(四)- 离线安装UCP和DTR
- 4. shiro自定义realm认证(五)
- 5. CentOS 7 配置 docker-registry TLS 安全认证
- 6. TLS安全的docker registry —— 自签名证书 安装
- 7. SpringSecurity之自定义认证
- 8. Django认证系统之自定义认证表
- 9. Docker Data Center系列(一)- 快速搭建云原生架构的实践环境
- 10. Docker 系列四(自定义仓库).
- 更多相关文章...
- • 自定义TypeHandler - MyBatis教程
- • 系统定义的TypeHandler - MyBatis教程
- • Composer 安装与使用
- • RxJava操作符(十)自定义操作符
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. No provider available from registry 127.0.0.1:2181 for service com.ddbuy.ser 解决方法
- 2. Qt5.7以上调用虚拟键盘(支持中文),以及源码修改(可拖动,水平缩放)
- 3. 软件测试面试- 购物车功能测试用例设计
- 4. ElasticSearch(概念篇):你知道的, 为了搜索…
- 5. redux理解
- 6. gitee创建第一个项目
- 7. 支持向量机之硬间隔(一步步推导,通俗易懂)
- 8. Mysql 异步复制延迟的原因及解决方案
- 9. 如何在运行SEPM配置向导时将不可认的复杂数据库密码改为简单密码
- 10. windows系统下tftp服务器使用
- 1. Docker Data Center系列(二)- UCP安装指南
- 2. Docker Data Center系列(三)- DTR安装指南
- 3. Docker Data Center系列(四)- 离线安装UCP和DTR
- 4. shiro自定义realm认证(五)
- 5. CentOS 7 配置 docker-registry TLS 安全认证
- 6. TLS安全的docker registry —— 自签名证书 安装
- 7. SpringSecurity之自定义认证
- 8. Django认证系统之自定义认证表
- 9. Docker Data Center系列(一)- 快速搭建云原生架构的实践环境
- 10. Docker 系列四(自定义仓库).