Cmo configurar el docker daemon para que

utilice TLS
Precondiciones
Precondiciones: variable $HOST definida con el nombre
DNS del host
Precondiciones: ejecutar los comandos desde ~/.docker
Es preferible ejecutar los comandos detallados a continuacin desde el
directorio ~/.docker ya que este es el path por defecto donde el cliente
docker espera encontrar los certificados y claves.

ATENCIN: El cliente docker espera (valores por defecto) que la clave

se llame key.pem y el certificado cert.pem y estn ubicados en el
directorio ~/.docker del usuario (en nuestro caso sysadmin).

Luego moveremos los ficheros apropiados (los de la ca y los del servidor)

a un directorio /etc/docker-tls con permisos exclusivos para el usuario root
para su uso por parte del docker deamon.

Pasos a seguir
openssl genrsa -aes256 -out ca-key.pem 4096
Salida del comando:

Generating RSA private key, 4096 bit long modulus

.................................++
..........................................................................................................................
..............................................................................................................................
..............................................................................................................................
.........................................++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem: <introducir password>
Verifying - Enter pass phrase for ca-key.pem: <introducir password>

openssl req -new -x509 -days 365 -key ca-key.pem

-sha256 -out ca.pem
Salida del comando:

Enter pass phrase for ca-key.pem:

You are about to be asked to enter information that will be incorporated
 into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:ES
State or Province Name (full name) [Some-State]:.
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:.
Organizational Unit Name (eg, section) []:Development
Common Name (e.g. server FQDN or YOUR name) []:docker
Email Address []:

openssl genrsa -aes256 -out server-key.pem 4096

Salida del comando:

Generating RSA private key, 4096 bit long modulus

....................................++
...............................................................++
e is 65537 (0x10001)
Enter pass phrase for server-key.pem: <introducir password>
Verifying - Enter pass phrase for server-key.pem: <introducir password>

openssl req -subj "/CN=$HOST" -sha256 -new -key

server-key.pem -out server.csr
Salida del comando:

Enter pass phrase for server-key.pem: <introducir password>

echo subjectAltName = DNS:

$HOST,IP:172.16.0.26,IP:127.0.0.1 > extfile.cnf
openssl x509 -req -days 364 -sha256 -in server.csr -CA
ca.pem -CAkey ca-key.pem -CAcreateserial -out server-
cert.pem -extfile extfile.cnf
Salida del comando:

Signature ok
subject=/CN=docker
Getting CA Private Key
Enter pass phrase for ca-key.pem: <introducir password>

openssl genrsa -aes256 -out key.pem 4096

ATENCIN: El cliente docker espera que la clave se llame key.pem y est
ubicada en el directorio ~/.docker del usuario (en nuestro caso sysadmin).
Salida del comando:

Generating RSA private key, 4096 bit long modulus

..........................................................................................................++
..........................................................................................................................
............................................................................++
e is 65537 (0x10001)
Enter pass phrase for client-key.pem: <introducir password>
Verifying - Enter pass phrase for client-key.pem: <introducir password>

openssl req -subj '/CN=client' -new -key key.pem -out

client.csr
Salida del comando:

Enter pass phrase for client-key.pem: <introducir password>

echo extendedKeyUsage = clientAuth > extfile.cnf

openssl x509 -req -days 364 -sha256 -in client.csr -CA
ca.pem -CAkey ca-key.pem -CAcreateserial -out
cert.pem -extfile extfile.cnf
Salida del comando:

Signature ok
subject=/CN=client
Getting CA Private Key
Enter pass phrase for ca-key.pem: <introducir password>

openssl rsa -in server-key.pem -out server-

key.unencrypted.pem -passin pass:<introducir
password>
Una vez ejecutado, reemplazar la clave "vieja" (encriptada) por la
"nueva" (sin encriptar) para poder usarla con el docker deamon:

sudo mv server-key.pem server-key.encrypted.pem

sudo mv server-key.unencrypted.pem server-key.pem

openssl rsa -in key.pem -out key.unencrypted.pem

-passin pass: <introducir password>
Una vez ejecutado, reemplazar la clave "vieja" por la "nueva" para poder
usarla con el cliente docker:

sudo mv key.pem key.encrypted.pem

sudo mv key.unencrypted.pem key.pem
chmod -v 0400 ca-key.pem server-key.pem key.pem
Salida del comando:

mode of ca-key.pem changed from 0664 (rw-rw-r--) to 0400 (r--------)

mode of server-key.pem changed from 0664 (rw-rw-r--) to 0400 (r--------)
mode of key.pem changed from 0664 (rw-rw-r--) to 0400 (r--------)

chmod -v 0444 ca.pem server-cert.pem cert.pem

Salida del comando:

mode of ca.pem changed from 0664 (rw-rw-r--) to 0444 (r--r--r--)

mode of server-cert.pem changed from 0664 (rw-rw-r--) to 0444 (r--r--r--)
mode of cert.pem changed from 0664 (rw-rw-r--) to 0444 (r--r--r--)

Copiar ficheros a /etc/docker-tls

Crear un nuevo directorio /etc/docker-tls y copiar all los ficheros
generados, con acceso slo para root:

sudo mkdir /etc/docker-tls

sudo mkdir /etc/docker-tls/private
sudo cp *.pem /etc/docker-tls
sudo cd /etc/docker-tls
sudo mv ca-key.pem private
sudo mv key.pem private
sudo mv server-key.pem private
sudo chmod 400 private
sudo chmod 444 .