最近使用docker的過程中，發(fā)現(xiàn)有時(shí)需要配置tls證書。因此，我了解了一下docker tls證書的相關(guān)知識。

在docker中，tls證書主要用于對docker daemon 的訪問進(jìn)行加密和認(rèn)證。它通過對訪問請求進(jìn)行加密、對證書進(jìn)行認(rèn)證和對請求進(jìn)行授權(quán)，保證了安全性。

下面是生成TLS自簽名證書的命令：

$openssl genrsa -aes256 -out ca-key.pem 4096
$openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
$openssl genrsa -out server-key.pem 4096
$openssl req -subj "/CN=yourdomain.com" -sha256 -new -key server-key.pem -out server.csr
$echo subjectAltName = DNS:yourdomain.com,IP:127.0.0.1 >>extfile.cnf
$echo extendedKeyUsage = serverAuth >>extfile.cnf
$openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf
$openssl genrsa -out key.pem 4096
$openssl req -subj '/CN=client' -new -key key.pem -out client.csr
$echo extendedKeyUsage = clientAuth >extfile.cnf
$openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf

生成的cert.pem和key.pem就是我們的tls證書了。

現(xiàn)在，我們可以在docker的配置文件中使用這些證書進(jìn)行配置，以保證docker daemon的安全性。在docker配置文件的啟動(dòng)配置中，添加如下內(nèi)容：

--tlsverify --tlscacert=ca.pem --tlscert=server-cert.pem --tlskey=server-key.pem

通過上面的操作，我們就成功的使用了TLS證書保證了docker的安全性。