Harbor配置证书访问

一,生成证书

由于Harbor不附带任何证书,它默认使用HTTP来提供注册表请求。但是,强烈建议为任何生产环境启用安全性。Harbour有一个Nginx实例作为所有服务的反向代理,您可以使用准备脚本来配置Nginx来启用https。

1,获得证书

假设您的注册表的主机名是reg.yourdomain.com,并且其DNS记录指向您正在运行Harbor的主机。您首先应该从CA获得证书。证书通常包含.crt文件和.key文件,例如yourdomain.com.crt和yourdomain.com.key。

在测试或开发环境中,您可以选择使用自签名证书而不是CA中的证书。以下命令生成您自己的证书:

创建您自己的CA证书:

 openssl req -newkey rsa:4096 -nodes -sha256 -keyout ca.key -x509 -days 365 -out ca.crt

2,生成证书签名请求:

如果您使用FQDN-全限定域名(如reg.yourdomain.com)连接注册表主机,则必须使用reg.yourdomain.com作为CN(通用名称)。否则,如果您使用IP地址来连接您的注册表主机,CN可以是任何类似您的名字等等:

openssl req -newkey rsa:4096 -nodes -sha256 -keyout reg.cdcpsyb.com.key -out reg.cdcpsyb.com.csr

3,生成注册表主机的证书:

如果您使用的是像reg.yourdomain.com这样的FQDN 来连接您的注册表主机,请运行以下命令以生成注册表主机的证书:

  openssl x509 -req -days 365 -in reg.cdcpsyb.com.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out reg.cdcpsyb.com.crt

如果你使用IP,比如192.168.1.101来连接你的注册表主机,你可以运行下面的命令:

# ip设置
echo subjectAltName = IP:192.168.1.101 > extfile.cnf
# 生成证书
openssl x509 -req -days 365 -in yourdomain.com.csr -CA ca.crt -CAkey ca.key -CAcreateserial -extfile extfile.cnf -out reg.cdcpsyb.com.crt

二、配置和安装

1,获取yourdomain.com.crt和yourdomain.com.key文件后,可以将它们放入如下目录中/root/cert/:

  cp yourdomain.com.crt /root/cert/
  cp yourdomain.com.key /root/cert/ 

2,接下来,编辑文件make / harbor.cfg,更新主机名和协议,并更新属性ssl_cert和ssl_cert_key:

  #set hostname
  hostname = reg.yourdomain.com
  #set ui_url_protocol
  ui_url_protocol = https
  ......
  #The path of cert and key files for nginx, they are applied only the protocol is set to https 
  ssl_cert = /root/cert/yourdomain.com.crt
  ssl_cert_key = /root/cert/yourdomain.com.key

3,为Harbour生成配置文件:

  ./prepare

如果Harbor已经运行,请停止并删除现有的实例。您的图像数据保留在文件系统中

 docker-compose down  

4,最后重启Harbour

  docker-compose up -d

为Harbour设置HTTPS后,您可以通过以下步骤验证它:

5,验证访问(使用foxmail浏览器访问,谷歌不信任)

打开浏览器并输入地址:https://reg.yourdomain.com。它应该显示Harbor的用户界面。

6,docker客户端访问

  • 删除/etc/docker/daemon.json中的“-insecure-registry”内容。

  • 创建/etc/docker/certs.d/reg.yourdomain.com(或您的注册表主机IP)文件夹,如果有端口则创建/etc/docker/certs.d/reg.yourdomain.com:port(或您的注册表主机IP:端口)

  • 拷贝ca.crt证书到创建文件夹

  • 验证登录

  docker login reg.yourdomain.com

如果您已将nginx 443端口映射到另一个端口,则需要添加要登录的端口,如下所示:

docker login reg.yourdomain.com:port

7故障排除

您可能会从证书颁发者处获得中间证书。在这种情况下,您应该将中间证书与您自己的证书合并以创建证书包。您可以通过以下命令来实现此目的:

cat intermediate-certificate.pem >> yourdomain.com.crt 
  • 在运行docker守护程序的某些系统上,您可能需要在操作系统级别信任该证书。
    在Ubuntu上,这可以通过以下命令完成:
cp youdomain.com.crt /usr/local/share/ca-certificates/reg.yourdomain.com.crt

更新CA证书
在Red Hat(CentOS等)上,命令是:

cp yourdomain.com.crt /etc/pki/ca-trust/source/anchors/reg.yourdomain.com.crt

更新CA信任
原文链接

发布了25 篇原创文章 · 获赞 5 · 访问量 2万+
展开阅读全文

没有更多推荐了,返回首页

©️2019 CSDN 皮肤主题: 编程工作室 设计师: CSDN官方博客

分享到微信朋友圈

×

扫一扫,手机浏览