登录harbor时的SSL异常: x509: certificate is valid for ingress.local

最新推荐文章于 2025-08-28 17:25:12 发布
最新推荐文章于 2025-08-28 17:25:12 发布
阅读量6k 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: docker基础 文章标签: ssl docker https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JosephThatwho/article/details/122544899

背景

之前搭建了一套内网环境的harbor,绑定了一个harbor.test.com的域名。现在因为工作需要,给这个harbor服务绑定了一个公网域名,并且申请了SSL证书,在调整完docker-composeharbor.yml以及docker-compose.yml文件内的证书后,可以通过浏览器访问,并且显示SSL握手成功。在这里插入图片描述
但是通过docker命令行登录时,却抛出如下异常:

Error response from daemon: Get "https://harbor.oulaoula.com/v2/": Get "https://harbor.mudamuda.com/service/token?account=jojo&client_id=docker&offline_token=true&service=harbor-registry": x509: certificate is valid for ingress.local, not harbor.mudamuda.com

原因

在hardor的docker-compose中,有一个core组件,定义了harbor的端点,所以需要把${harbor-docker-compose-dir}/common/config/core/env文件中的EXT_ENDPOINT字段的值定义为新的公网域名,并重启harbor服务。

Rancher - 无法连接到服务器:x509证书是针对ingress.local而不是编程有效
BitSlinger的博客
09-09 350
当您在连接到Rancher服务器遇到"无法连接到服务器:x509证书是针对ingress.local而不是编程有效"的错误,您可以按照本文提供的步骤进行排查和解决。检查连接配置、DNS解析,确保证书配置正确,并根据需要生成自签名证书或使用有效的CA签名证书。如果您正在使用自签名的证书,请确保证书的通用名称(Common Name)与您尝试连接的域名或IP地址匹配。要使用有效的CA签名证书,您需要在Rancher配置中指定正确的证书和私钥文件路径,并确保证书链正确。下面是一个使用Python的。
Rancher入门到精通-2.0 Unable to connect to the server: x509: certificate is valid for ingress.local, not
隔壁老瓦的专栏
10-28 1万+
kubectl apply -f https://rancher.test.cn/v3/import/xlxwdf6fz6jtgrfcmscs79msn8dkmjbs87p42npgcktjkx2q7shpx5.yaml Unable to connect to the server: x509: certificate is valid for ingress.local, not ranch...
k8s Unable to connect to the server: x509: certificate is valid
05-25
k8s Unable to connect to the server: x509: certificate is valid for问题解决
container向harbor推送镜像报错 x509: certificate signed by unknown authority
最新发布
平庸
08-28 335
摘要:本文记录了解决Harbor镜像推送认证问题的过程。首先下载新域名证书并配置到containerd指定位置,通过openssl验证证书链有效性。确认证书正确后,将CA证书复制到系统信任目录并更新证书缓存。随后清理containerd缓存并重启服务,最终使用ctr命令成功推送镜像。整个过程涉及证书验证、系统证书配置和containerd服务管理等关键步骤。
Ingress异常报错 [已解决]
杜小帅的博客
03-12 874
原错误配置port: 443targetPort: 8444 # ❌ 错误端口# 修正为port: 443targetPort: 8443 # ✅ 对齐控制器实际端口protocol: TCP # 必须显式声明。
Rancher入门指南-无法连接到服务器:x509: 证书只有效于ingress.local,而非编程
DevProPlus的博客
08-16 1134
当遇到Rancher无法连接服务器的问题,特别是x509证书错误,我们可以通过检查证书配置、更新证书配置、配置自定义域名、检查防火墙设置以及检查配置文件来解决问题。在使用Rancher,有会遇到连接服务器的问题,其中之一就是x509证书错误。最后,我们还要检查Rancher的配置文件是否正确设置了我们尝试连接的域名。b. SSL证书:为自定义域名获取正确的SSL证书,并将其配置到Rancher服务器。e. 更新Rancher服务器的证书配置文件,将新证书路径指定到正确的位置。
如何添加极狐GitLab Runner 信任域名证书
GitLab 中国发行版
03-01 860
由于 k8s 的 pod 可能随会被删除(故障转移、主动删除等),所以直接在 pod 内部配置不是上策k8s 中的 ConfigMap 可以挂载到 pod 内部,所以可以考虑在 ConfigMap 中配置证书,然后 pod 内部使用 ConfigMap 中的证书下载证书方式1。
docker harbor证书过期提示x509:certificate has expired or is not yet valid的错误
kittaaron的专栏
06-11 5988
网上有说法,一种是间设置不对,正确设置间即可。但是对证书真地过期了这种场景说明反而很少,碰到证书真的过期,可以到腾讯云或者阿里云上申请一个免费的一年期证书,替换掉即可。 在docker harbor安装机器上,找到harbor.cfg文件,在我的机器上是在目录/usr/local/src/harbor下。找到ssl_cert和ssl_cert_key两个key,把路径配置成最...
ingress-nginx安装OK后,应用ingress规则报x509证书错误
LMH975412826的专栏
08-06 2498
错误 Error from server (InternalError): error when creating "ingress-nginx.yml": Internal error occurred: failed calling webhook "validate.nginx.ingress.kubernetes.io": Post https://ingress-nginx-controller-admission.ingress-nginx.svc:443/extensions/v1beta1/
Harbor docker login x509 certificate signed by unknown authority
锐意工作室
02-26 1万+
文章目录Harbor docker login x509 certificate signed by unknown authority前言生成的证书方法一方法二方法三参考文档 Harbor docker login x509 certificate signed by unknown authority 前言 在CentOS7上用Harbor搭建好私有Docker registry并配置好HTT...
Error response from daemon: Get “https://harbor.com/v2/“: x509: certificate relies on legacy Common
weixin_44130953的博客
05-23 3360
1、先到harbor服务上查看 docker-compose服务是否正常,2、 修改客户端docker 相关配置文件。
使用helm安装harbor (ingress方式并且开启https
yuweibing78的博客
06-23 409
记录一下使用helm安装harbor的过程,其中web管理界面使用ingress方式暴露,并且开启https
k8s中ingress-nginx离线安装实践
流月up的博客
05-23 1585
k8s中ingress-nginx离线安装实践
从零开始搭建harbor私有仓库
weixin_44558065的博客
12-27 2441
环境 server:linux redhat7.6 网络适配器:nat(个人习惯) IP地址:192.168.1.229 安装docker容器 这里我使用的是阿里云镜像中的docker-ce,具体安装方法 完成后在目录/etc/yum.repo.d下下载文件 [root@localhost yum.repos.d]# wget https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo 安装docker-ce [root@localho
Harbor私有镜像仓库使用及报错总结
sozee910的博客
09-04 863
详细介绍Harbor私有镜像仓库使用及报错总结,对每一步进行详细介绍,以及对易犯错的地方进行提示,帮助初次接触harbor的同学更好理解
Unable to connect to the server: x509: certificate is valid for问题解决
热门推荐
DANTE54的博客
04-03 4万+
关于外网设备访问一个advertise-address为内网IP的内网构建的kubernetes集群的问题问题描述问题原因解决方案 问题描述 将构建于内网网络环境上的kubernetes集群的/etc/kubernetes/admin.conf文件拷贝到外网的一台装有kubernetes客户端的设备上,文件内容放到外网设备的~/.kube/config文件中 然后修改config文件中的serv...
HTTPS双向认证
Starr
02-28 7504
文章目录双向认证服务端客户端(问题残留) 双向认证 C/S两端分别生成密钥对,交换公钥,基于公钥验证另一端。 第一步,创建密钥对,把公钥存储为自签名、PEM编码的证书。用openssl即可,这里以一个HTTPS服务端为例: openssl req -nodes -x509 -newkey rsa:4096 -keyout serverKey.pem -out serverCrt.pem -days 365 serverKey.pem包含服务器的私钥,需要保护;serverCrt.pem包含服务器的公钥,用
docker拉去镜像报错: x509: certificate is valid for *.api-test.cfadevelop.com, *.app-test.cfadevelop.com,
qq_36852840的博客
04-21 2790
大概率是因为docker的daemon.json中为配置国内镜像源的原因。在/etc/docker/daemon.json中新增国内镜像源。
failed to authorize: failed to fetch oauth token: Post "https://harbor.kccp.ksyun.com/service/token": tls: failed to verify certificate: x509: certificate is valid for core.harbor.domain, not harbor.kccp.ksyun.com
08-13
在处理 Harbor OAuth 令牌获取失败的问题,错误信息 `failed to fetch oauth token: tls: verify certificate: x509: certificate valid for core.harbor.domain, not harbor.kccp.ksyun.com` 表明客户端尝试访问 `harbor.kccp.ksyun.com`,但服务器提供的 TLS 证书仅对 `core.harbor.domain` 有效,导致证书验证失败[^1]。 ### 问题分析 TLS 证书的验证失败通常涉及以下几个方面: 1. **证书域名不匹配**: - 提供的证书仅对 `core.harbor.domain` 有效,而客户端尝试访问的是 `harbor.kccp.ksyun.com`。 - TLS 证书中的 Subject Alternative Name (SAN) 或 Common Name (CN) 必须包含客户端使用的域名。 2. **证书有效期问题**: - 证书的有效期可能已过,或者证书签发间与系统间不匹配。 3. **证书信任链问题**: - 如果证书不是由受信任的 CA 签发的,或者中间证书未正确配置,也可能导致验证失败。 4. **自签名证书处理**: - 如果使用的是自签名证书,则需要在客户端信任该证书或在请求禁用证书验证(不推荐用于生产环境)。 ### 解决方案 #### 1. 确保证书包含正确的域名 如果使用的是自签名证书或内部 CA 签发的证书,请确保在生成证书,证书中包含客户端访问的域名。可以使用类似以下命令生成证书: ```bash chmod +x create_self-signed-cert.sh ./create_self-signed-cert.sh --ssl-domain=harbor.kccp.ksyun.com --ssl-trusted-ip=172.16.3.241,172.16.3.242,172.16.3.243 --ssl-size=2048 --ssl-date=3650 ``` 确保 `--ssl-domain` 参数中包含 `harbor.kccp.ksyun.com`,以便证书验证通过[^1]。 #### 2. 验证证书 SAN 或 CN 字段 使用以下命令检查证书的 SAN 或 CN 字段是否包含所需的域名: ```bash openssl x509 -in tls.crt -text -noout ``` 在输出中查找 `Subject Alternative Name` 或 `Common Name` 字段,确认其中包含 `harbor.kccp.ksyun.com`。 #### 3. 在客户端信任证书 如果使用的是自签名证书,则需要在客户端将证书添加到信任存储中。例如,在 Linux 系统上,可以将证书复制到 `/usr/local/share/ca-certificates/` 并运行: ```bash sudo update-ca-certificates ``` #### 4. 禁用证书验证(仅用于测试) 在测试环境中,可以通过禁用 TLS 验证来绕过证书问题。例如,在 Docker 客户端中,可以编辑 `/etc/docker/daemon.json` 并添加: ```json { "insecure-registries": ["harbor.kccp.ksyun.com"] } ``` 然后重启 Docker 服务: ```bash sudo systemctl restart docker ``` 注意:这种方法不适用于生产环境,因为它会降低安全性。 #### 5. 检查间同步问题 确保客户端和服务器的间同步。间偏差过大可能导致证书被认为无效。可以使用 `ntpdate` 或 `chronyd` 来同步间。 ### 示例代码:使用 Go 发送 HTTPS 请求并跳过证书验证(仅用于测试) ```go package main import ( "fmt" "net/http" "crypto/tls" ) func main() { tr := &http.Transport{ TLSClientConfig: &tls.Config{InsecureSkipVerify: true}, } client := &http.Client{Transport: tr} resp, err := client.Get("https://harbor.kccp.ksyun.com") if err != nil { fmt.Println("Error:", err) return } defer resp.Body.Close() fmt.Println("Response status:", resp.Status) } ``` ###
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值