安全通信TLS
- 一、TLS概述
- 二、实验
- 2.1 实验目的
- 2.2 实验环境
- 2.3 实验步骤
一、TLS概述
安全传输层协议(TLS)用于在两个通信应用程序之间提供保密性和数据完整性。
该协议由两层组成: TLS 记录协议(TLS Record)和 TLS 握手协议(TLS Handshake)。
TLS协议采用主从式架构模型,用于在两个应用程序间透过网络创建起安全的连线,防止在交换数据时受到窃听及篡改。
TLS协议的优势是与高层的应用层协议(如HTTP、FTP、Telnet等)无耦合。应用层协议能透明地运行在TLS协议之上,由TLS协议进行创建加密通道需要的协商和认证。应用层协议传送的数据在通过TLS协议时都会被加密,从而保证通信的私密性。
TLS协议是可选的,必须配置客户端和服务器才能使用。主要有两种方式实现这一目标:一个是使用统一的TLS协议通信端口(例如:用于HTTPS的端口443);另一个是客户端请求服务器连接到TLS时使用特定的协议机制(例如:邮件、新闻协议和STARTTLS)。一旦客户端和服务器都同意使用TLS协议,他们通过使用一个握手过程协商出一个有状态的连接以传输数据。通过握手,客户端和服务器协商各种参数用于创建安全连接:
- 当客户端连接到支持TLS协议的服务器要求创建安全连接并列出了受支持的密码组合(加密密码算法和加密哈希函数),握手开始。
- 服务器从该列表中决定加密和散列函数,并通知客户端。
- 服务器发回其数字证书,此证书通常包含服务器的名称、受信任的证书颁发机构(CA)和服务器的公钥。
- 客户端确认其颁发的证书的有效性。
- 为了生成会话密钥用于安全连接,客户端使用服务器的公钥加密随机生成的密钥,并将其发送到服务器,只有服务器才能使用自己的私钥解密。
- 利用随机数,双方生成用于加密和解密的对称密钥。这就是TLS协议的握手,握手完毕后的连接是安全的,直到连接(被)关闭。如果上述任何一个步骤失败,TLS握手过程就会失败,并且断开所有的连接。
二、实验
2.1 实验目的
创建证书,通过证书进行安全通信
2.2 实验环境
192.168.200.100 服务机
192.168.200.120 客户机
2.3 实验步骤
服务端
1.关闭防火墙,添加名称解析
iptables -F
setenforce 0
vim /etc/hosts #名称解析
192.168.200.100 master
hostnamectl set-hostname master
su
ping master
PING master (192.168.200.100) 56(84) bytes of data.
64 bytes from master (192.168.200.100): icmp_seq=1 ttl=64 time=0.102 ms
64 bytes from master (192.168.200.100): icmp_seq=2 ttl=64 time=0.059 ms
2.创建ca秘钥
openssl genrsa -aes256 -out ca-key.pem 4096
Enter pass phrase for ca-key.pem: #输入密码123123
Verifying - Enter pass phrase for ca-key.pem:
ls
ca-key.pem
3.创建ca证书
openssl req -new -x509 -days 1000 -key ca-key.pem -sha256 -subj "/CN=*" -out ca.pem #遵守509标准,1000天有效,哈希256,名称*
Enter pass phrase for ca-key.pem: #输入密码123123
ls
ca-key.pem ca.pem
4.创建服务器私钥
openssl genrsa -out server-key.pem 4096 #创建服务器私钥
Generating RSA private key, 4096 bit long modulus
.................................................................++
..........++
e is 65537 (0x10001)
ls
ca-key.pem ca.pem server-key.pem
5.证书签名,使用服务器秘钥签名 ,签名私钥
openssl req -subj "/CN=*" -sha256 -new -key server-key.pem -out server.csr
ls
ca-key.pem ca.pem server-key.pem server.csr
使用ca证书与私钥证书签名
openssl x509 -req -days 1000 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem
Signature ok
subject=/CN=*
Getting CA Private Key
Enter pass phrase for ca-key.pem: #输入密码123123
ls
ca-key.pem ca.pem server-key.pem server.csr server-cert.pem
6.生成客户端秘钥
openssl genrsa -out key.pem 4096
Generating RSA private key, 4096 bit long modulus
........................................................................................................................++
.................................++
e is 65537 (0x10001)
ls
ca-key.pem ca.pem server-key.pem server.csr server-cert.pem key.pem
7.创建证书签名,签名客户端
openssl req -subj "/CN=client" -new -key key.pem -out client.csr
ls
ca-key.pem ca.pem server-key.pem server.csr server-cert.pem key.pem client.csr
8.创建配置文件
echo extendedKeyUsage=clientAuth > extfile.cnf #为产生客户端证书做准备
ls
ca-key.pem ca.pem server-key.pem server.csr server-cert.pem key.pem client.csr extfile.cnf
9.创建客户端签名证书,需要(签名客户端,ca证书,ca秘钥)
openssl x509 -req -days 1000 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out
cert.pem -extfile extfile.cnf
Signature ok
subject=/CN=client
Getting CA Private Key
Enter pass phrase for ca-key.pem:
ls # 生成客户端证书
ca-key.pem ca.pem server-key.pem server.csr server-cert.pem key.pem client.csr extfile.cnf cert.pem
10.删除多余文件
rm -rf ca.srl client.csr extfile.cnf server.csr
ls
ca.pem initial-setup-ks.cfg server-cert.pem ca-key.pem cert.pem key.pem server-key.pem
11.配置docker
vim /lib/systemd/system/docker.service
14 #ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock
15 ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=/tls/ca.pem --tlscert=/tls/server-cert.pem --tlskey=/tls/server-key.pem -H tcp://0.0.0.0:2376 -H unix:///var/run/docker.sock
mkdir /tls
mv *.pem /tls/
systemctl daemon-reload
systemctl restart docker
netstat -antp | grep 2376
tcp6 0 0 :::2376 :::* LISTEN 73925/dockerd
cd /tls/
ls
ca-key.pem ca.pem cert.pem key.pem server-cert.pem server-key.pem
docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version #查看版本
12.复制证书给客户端
scp ca.pem root@192.168.200.120:/etc/docker
The authenticity of host '192.168.200.120 (192.168.200.120)' can't be established.
ECDSA key fingerprint is SHA256:dMvbIJyuN9aFqJR+OwwLY436gqKEgtipcBLofzOilgU.
ECDSA key fingerprint is MD5:7a:d8:f0:f5:c5:ff:95:36:11:fe:e8:b3:c0:dc:d7:2e.
Are you sure you want to continue connecting (yes/no)? yes
root@192.168.200.120's password:
ca.pem 100% 1765 2.3MB/s 00:00
scp cert.pem root@192.168.200.120:/etc/docker
root@192.168.200.120's password:
cert.pem 100% 1696 457.3KB/s 00:00
scp key.pem root@192.168.200.120:/etc/docker
root@192.168.200.120's password:
key.pem 100% 3247 1.1MB/s 00:00
客户端
1.关闭防火墙,添加名称解析
iptables -F
setenforce 0
vim /etc/hosts #名称解析
192.168.200.100 master
[root@localhost ~]# ping master
PING master (192.168.200.100) 56(84) bytes of data.
64 bytes from master (192.168.200.100): icmp_seq=1 ttl=64 time=0.642 ms
64 bytes from master (192.168.200.100): icmp_seq=2 ttl=64 time=1.19 ms
2.查看接受的文件,并使用tls验证dockers版本
cd /etc/docker/
ls
ca.pem cert.pem daemon.json key.json key.pem
可以访问
docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H tcp://master:2376 version
Client: Docker Engine - Community
Version: 19.03.13
API version: 1.40