redis中加密明文密码保存 redis tls加密

转载

mob64ca1418aeab 2023-10-28 07:22:02

文章标签 redis中加密明文密码保存 docker tls 客户端服务端 文章分类 Redis 数据库

文章目录

一、TLS概述

1.1 什么是TLS？
1.2 为什么要使用TLS加密

二、在Docker中部署TLS

2.1 环境部署
2.2 hosts主机优化
2.3 部署流程

2.3.1 master节点上创建CA密码与CA证书
2.3.2 master节点上创建master与client节点证书
2.3.3 配置Docker service文件

2.4 验证

一、TLS概述

1.1 什么是TLS？

TLS（Transport Layer Security Protocol）：传输层安全性协议，其前身安全套接层（SSL）是一种安全协议，目的是为互联网通信提供安全及数据完整性保障。
TLS 协议采用主从式架构模型，用于在两个应用程序间透过网络创建起安全的连线，防止在交换数据时受到窃听及篡改。

TLS优势：

TLS协议的优势是与高层的应用层协议（如HTTP、FTP、Telnet等）无耦合：

①应用层协议能透明地运行在TLS协议之上，由TLS协议进行创建加密通道需要的协商和认证；
②应用层协议传送的数据在通过TLS协议时都会被加密，从而保证通信的私密性。

1.2 为什么要使用TLS加密

为了防止链路劫持、会话劫持等问题导致 Docker 通信时被中间人攻击，c/s 两端应该通过加密方式通讯。

二、在Docker中部署TLS

2.1 环境部署

主机名	IP地址	部署服务
master	192.168.140.22	docker-ce
client	192.168.140.21	docker-ce

2.2 hosts主机优化

确保两台主机能互通

[root@master ~]# vi /etc/hosts
...//添加以下配置
192.168.140.22 master
192.168.140.21 client

[root@client ~]# vi /etc/hosts
...//添加以下配置
192.168.140.22 master
192.168.140.21 client

redis中加密明文密码保存 redis tls加密_服务端

redis中加密明文密码保存 redis tls加密_redis中加密明文密码保存_02

2.3 部署流程

2.3.1 master节点上创建CA密码与CA证书

[root@master ~]# mkdir TLS
[root@master ~]# cd TLS/

创建CA密钥

[root@master TLS]# openssl genrsa -aes256 -out ca-key.pem 4096
Generating RSA private key, 4096 bit long modulus
.....................................++
..............................................................................................++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem:						//设置密码 111222
Verifying - Enter pass phrase for ca-key.pem:			//确认密码
[root@master TLS]# ls
ca-key.pem

参数详解

openssl：开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听

genrsa：rsa 非对称密钥

-aes256：指定密钥长度位256位

-out ca-key.pem：创建ca-key.pem密钥文件

创建CA证书

[root@master TLS]# openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem
Enter pass phrase for ca-key.pem:		//输入密码111222
[root@master TLS]# ls
ca-key.pem  ca.pem		//注意此ca.pem证书是官方颁发的

参数详解

req -new：请求创建新的证书

-x509：证书的一个参数

-days：证书周期是1000天

-key：指定密钥文件

-sha256：哈希验证

-subj “/CN=*”：指定项目名称

-out ca.pem：产生出ca证书

2.3.2 master节点上创建master与client节点证书

创建证书步骤

通过在master服务端上创建tls密钥证书，再下发给客户端，客户端通过私钥访问容器，这样就保证的docker通讯的安全性

CA证书只是一个官方认证的证书，接下来要创建master、client节点的证书

此时创建证书有三步：
1.设置私钥 确保安全加密
2.私钥签名 确保身份真实不可抵赖
3.制作证书
注意：csr是一个签名文件

创建master服务端证书

#首先创建私钥
[root@master TLS]# openssl genrsa -out server-key.pem 4096
Generating RSA private key, 4096 bit long modulus
.....................................++
....................................................................................................++
e is 65537 (0x10001)

#然后签名私钥
[root@master TLS]# openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr
//使用server-key.pem 密钥文件进行签名，生成签名文件
//server.csr 签名文件

[root@master TLS]# ls
ca-key.pem  ca.pam  server.csr  server-key.pem

#使用CA证书与私钥证书签名
[root@master TLS]# openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pemSignature ok
subject=/CN=*
Getting CA Private Key
Enter pass phrase for ca-key.pem:		//输入密码111222
[root@master TLS]# ls
ca-key.pem  ca.pem  ca.srl  server-cert.pem  server.csr  server-key.pem

参数详解

openssl x509：使用openssl方式生成 509 证书

-req ：请求

-days 1000：有效期天数

-sha256：哈希值验证

-in server.csr ：导入签名文件

-CA ca.pem ：加入CA官方授权的证书

-CAkey ca-key.pem：加入CA官方的密钥

-CAcreateserial -out server-cert.pem：创建服务端的证书

创建客户端证书
客户端的证书也是要由服务端进行申请

#创建客户端密钥
[root@master TLS]# openssl genrsa -out client-key.pem 4096
Generating RSA private key, 4096 bit long modulus
.............................................................................................................................................................................................................................................................................................++
..........................................................................................................................++
e is 65537 (0x10001)
[root@master TLS]# ls
ca-key.pem  ca.pem  ca.srl  client-key.pem  server-cert.pem  server.csr  server-key.pem

#使用密钥进行签名，生成客户端签名文件
[root@master TLS]# openssl req -subj "/CN=client" -new -key client-key.pem -out client.csr
[root@master TLS]# ls
ca-key.pem  ca.pem  ca.srl  client.csr  client-key.pem  server-cert.pem  server.csr  server-key.pem

创建配置文件
区分服务端和客户端

[root@master TLS]# echo extendedKeyUsage=clientAuth > extfile.cnf
[root@master TLS]# ls
ca-key.pem  ca.pem  ca.srl  client.csr  client-key.pem  extfile.cnf  server-cert.pem  server.csr  server-key.pem

基于CA证书，CA秘钥生成签名证书，然后删除多余文件

[root@master TLS]# openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf
Signature ok
subject=/CN=client
Getting CA Private Key
Enter pass phrase for ca-key.pem:		//输入密码111222
[root@master TLS]# ls
ca-key.pem  ca.pem  ca.srl  cert.pem  client.csr  client-key.pem  extfile.cnf  server-cert.pem  server.csr  server-key.pem

[root@master TLS]# rm -rf ca.srl client.csr extfile.cnf server.csr		//删除多余文件
[root@master TLS]# ls
ca-key.pem  ca.pem  cert.pem  client-key.pem  server-cert.pem  server-key.pem

2.3.3 配置Docker service文件

[root@master TLS]# vim /usr/lib/systemd/system/docker.service
...//注释掉该行，并在其下面添加以下配置
#ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock
ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/root/TLS/ca.pem --tlscert=/root/TLS/server-cert.pem --tlskey=/root/TLS/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock

#参数解释：--tls 加密通讯。指定/tls目录下的证书。指定使用tcp访问方式，对外开启端口2376（使用unix通讯文件）

重载参数/进程、重启服务

[root@master TLS]# sudo systemctl daemon-reload
[root@master TLS]# sudo systemctl restart docker

将master上 /tls中的 ca.pem、cert.pem、client-key.pem 推送到客户端/etc/docker目录下

scp ca.pem root@192.168.140.21:/etc/docker/

scp cert.pem root@192.168.140.21:/etc/docker/

scp client-key.pem root@192.168.140.21:/etc/docker/

2.4 验证

首先服务端关闭核心防护、清空防火墙规则；客户端关闭核心防护

master服务端
[root@master TLS]# iptables -F
[root@master TLS]# setenforce 0
setenforce: SELinux is disabled

客户端
[root@client ~]# setenforce 0

在master服务端随意下载一个镜像文件

[root@master TLS]# docker pull nginx

[root@master TLS]# docker images
REPOSITORY   TAG       IMAGE ID       CREATED        SIZE
nginx        latest    f6d0b4767a6c   2 months ago   133MB

在客户端以TCP访问的形式查询master镜像列表

[root@client docker]# docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=client-key.pem -H tcp://master:2376 images
REPOSITORY   TAG       IMAGE ID       CREATED        SIZE
nginx        latest    f6d0b4767a6c   2 months ago   133MB

[root@client docker]# docker --tlsverify --tlscacert=ca.pam --tlscert=cert.pem --tlskey=client-key.pem -H tcp://master:2376 ps
CONTAINER ID   IMAGE     COMMAND   CREATED   STATUS    PORTS     NAMES

参数详解

–tlsverify ：TLS 证书

–tlscacert=ca.pem：CA官方颁发的ca证书

–tlscert=cert.pem：客户端证书

–tlskey=key.pem：客户端密钥证书

-H tcp://master:2376 images：使用tcp 通讯方式查询镜像列表

本文章为转载内容，我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题，欢迎原作者联系我们进行内容更正或删除文章。

上一篇：android混合api Android混合开发加载在线vue

下一篇：硬件虚拟化的作用硬件虚拟工具有什么用

提问和评论都可以，用心的回复会被更多人看到评论

发布评论

相关文章

官方博客	全部文章	热门标签	班级博客
了解我们	网站地图	意见反馈

鸿蒙开发者社区	51CTO学堂
51CTO	软考资讯

redis中加密明文密码保存 redis tls加密

redis中加密明文密码保存 redis tls加密

文章目录

一、TLS概述

1.1 什么是TLS？

1.2 为什么要使用TLS加密

二、在Docker中 部署TLS

2.1 环境部署

2.2 hosts主机优化

2.3 部署流程

2.3.1 master节点上创建CA密码与CA证书

2.3.2 master节点上创建master与client节点证书

2.3.3 配置Docker service文件

2.4 验证

51CTO博客

二、在Docker中部署TLS