使用acme证书搭建harbor私有镜像仓库

最新推荐文章于 2024-05-29 08:15:59 发布
最新推荐文章于 2024-05-29 08:15:59 发布
阅读量709 收藏
点赞数 1
文章标签: 运维 网络 java
原文链接:https://my.oschina.net/winniepoohmeng/blog/2992566
版权

[TOC]

使用acme证书搭建harbor私有镜像仓库

acme.sh 实现了 acme 协议, 可以从 letsencrypt 生成免费的证书. https://github.com/Neilpang/acme.sh

环境准备

腾讯云服务器: OS: Centos7.4 172.21.32.8 62.234.69.63 域名:hub.mapollo.com 解析到以上IP地址

基础安装

安装docker-ce docker-compose python3 pip

安装acme.sh

yum -y install socat
curl https://get.acme.sh | sh
cd ~/.acme.sh
自动申请证书条件:域名正确指向服务器公网地址,确认此服务器80端口未被占用且可访问。
sh acme.sh --issue -d hub.mapollo.com --standalone 成功结果:

[Wed Jan 16 10:09:03 CST 2019] Your cert is in  /root/.acme.sh/hub.mapollo.com/hub.mapollo.com.cer 
[Wed Jan 16 10:09:03 CST 2019] Your cert key is in  /root/.acme.sh/hub.mapollo.com/hub.mapollo.com.key 
[Wed Jan 16 10:09:04 CST 2019] The intermediate CA cert is in  /root/.acme.sh/hub.mapollo.com/ca.cer 
[Wed Jan 16 10:09:04 CST 2019] And the full chain certs is there:  /root/.acme.sh/hub.mapollo.com/fullchain.cer

安装harbor

下载: wget https://storage.googleapis.com/harbor-releases/release-1.7.0/harbor-offline-installer-v1.7.0.tgz 解压:
tar -zxvf harbor-offline-installer-v1.7.0.tgz 先不使用证书,修改配置文件harbor.cfg中hostname项为正确的域名 安装: ./install.sh

验证

[root@VM_32_8_centos harbor]# docker-compose ps
       Name                     Command                  State                                    Ports                              
-------------------------------------------------------------------------------------------------------------------------------------
harbor-adminserver   /harbor/start.sh                 Up (healthy)                                                                   
harbor-core          /harbor/start.sh                 Up (healthy)                                                                   
harbor-db            /entrypoint.sh postgres          Up (healthy)   5432/tcp                                                        
harbor-jobservice    /harbor/start.sh                 Up                                                                             
harbor-log           /bin/sh -c /usr/local/bin/ ...   Up (healthy)   127.0.0.1:1514->10514/tcp                                       
harbor-portal        nginx -g daemon off;             Up (healthy)   80/tcp                                                          
nginx                nginx -g daemon off;             Up (healthy)   0.0.0.0:443->443/tcp, 0.0.0.0:4443->4443/tcp, 0.0.0.0:80->80/tcp
redis                docker-entrypoint.sh redis ...   Up             6379/tcp                                                        
registry             /entrypoint.sh /etc/regist ...   Up (healthy)   5000/tcp                                                        
registryctl          /harbor/start.sh                 Up (healthy)

手动启动停止honbor

docker-compose up -d

docker-compose down

已经可以通过浏览器登录harbor user:admin pass: Harbor12345 创建测试项目,测试用户,分配用户权限
http://hub.mapollo.com

push 镜像
由于采用了默认的 http 方式连接,而 Docker 认为这是不安全的,所以在 push 之前需要调整一下 docker 配置,
修改/lib/systemd/system/docker.service文件,添加--insecure-registry hub.mapollo.com,重启docker daemon 和service
ExecStart=/usr/bin/docker --insecure-registry hub.mapollo.com
systemctl daemon-reload  && systemctl restart docker

从hub.docker.io上pull ubuntu
docker pull ubuntu:16.04 
打上我们的标签, 默认这个 library 项目是公开的,所有人都可以有读写的权限
docker tag ubuntu:16.04 hub.mapollo.com/library/myubuntu:v1
docker tag tomcat:latest hub.mapollo.com/library/myubuntu:v1

docker login hub.mapollo.com # 输入新建的用户名密码
docker push hub.mapollo.com/library/myubuntu:v1 

推送成功

http://hub.mapollo.com 上查看推送的项目

安装harnor nginx 证书

harbor默认配置证书放置在/data/cert/目录下,证书文件名也需要和harbor.cfg配置文件中的一一对应。在执行后续prepare的时候会被copy到nginx容器的配置文件目录harbor/common/config/nginx/cert/中。 在此发现一个问题:证书更新后再次执行prepare不会覆盖更新harbor/common/config/nginx/cert中的文件。会导致nginx证书无效。 mkdir -p /data/cert/ ./acme.sh --install-cert -d hub.mapollo.com --key-file /data/cert/hub.mapollo.com.key --fullchain-file /data/cert/hub.mapollo.com.crt

停止harbor
docker-compose down -v
#修改harbor配置文件 更改https,证书文件名
sed -i s/server.crt/hub.mapollo.com.cft/ harbor.cfg sed -i s/server.key/hub.mapollo.com.key/ harbor.cfg sed -i s/ui_url_protocol\ =\ http/ui_url_protocol\ =\ https/g harbor.cfg #重新生成harbor docker 配置
/opt/harbor/prepare

删除 docker.service 修改
ExecStart=/usr/bin/docker  systemctl daemon-reload && systemctl restart docker

重新启动harbor
docker-compose up -d 重新登录harbor
docker login hub.mapollo.com
登录成功
再次测试push image
docker pull tomcat

docker tag tomcat:latest hub.mapollo.com/library/mytomcat:v1

docker push hub.mapollo.com/library/mytomcat:v1

证书有效期

acme.sh申请的证书有效期90天,acme.sh安装的时候已经自动添加了一个计划任务每天自动更新证书,更新后重启使用证书的服务。 acme.sh自动添加的计划任务

[root@VM_32_8_centos .acme.sh]# crontab  -l | grep acme
11 0 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null

该计划任务也会自动执行证书上一次的安装命令,为确保nginx使用最新的证书,重新执行一次安装证书命令让acme.ch将证书文件安装到正确的位置及重启nginx服务。

acme.sh --install-cert -d hub.mapollo.com \
               --key-file     /opt/harbor/common/config/nginx/cert/server.key \
               --fullchainpath /opt/harbor/common/config/nginx/cert/server.crt \
               --reloadcmd     "docker restart 8d3983815cec"

写在最后 验证 SSL

访问 ssllabs.com 输入你的域名,检查 SSL 的配置是否都正常:

https://ssllabs.com/ssltest/analyze.html?d=domainname.com

确保验证结果有 A 以上,否则根据提示调整问题

转载于:https://my.oschina.net/winniepoohmeng/blog/2992566

chougangyan0079
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
harbor证书问题
Kevin
11-28 1833
参考 https://goharbor.io/docs/1.10/install-config/configure-https/ https://goharbor.io/docs/1.10/install-config/troubleshoot-installation/#https 生成自己的CA 默认情况下,Harbor不附带证书。可以在没有安全性的情况下部署Harbor,以便您可以通过HTTP连接到它。但是,只有在没有外部互联网连接的空白测试或开发环境中,才可以使用HTTP。在没有空隙的环境中使用
Harbor镜像仓库部署-证书
Luis9527的博客
11-29 629
Harbor镜像仓库部署 Harbor仓库部署之前需要先安装docker环境,可参考另一篇博客《Docker-从入门到精通》 安装docker-dompose 下载二进制文件 curl -L "https://github.com/docker/compose/releases/download/1.24.1/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose 赋予二进制文件可执行权限 chmod +x /usr
Harbor配置证书访问
Diligent_ten的博客
01-16 4229
一,生成证书 由于Harbor不附带任何证书,它默认使用HTTP来提供注册表请求。但是,强烈建议为任何生产环境启用安全性。Harbour有一个Nginx实例作为所有服务的反向代理,您可以使用准备脚本来配置Nginx来启用https。 1,获得证书 假设您的注册表的主机名是reg.yourdomain.com,并且其DNS记录指向您正在运行Harbor的主机。您首先应该从CA获得证书证书通常包含....
树莓派部署harbor_arm64
最新发布
lvyuanj的专栏
05-29 1063
如果仍然如此,您在尝试解决方案 1 后仍收到此错误,您必须按照此解决方案来清除错误。如果仍然如此,您在尝试解决方案 1 后仍收到此错误,您必须按照此解决方案来清除错误。完成此操作后,您将能够将 docker 镜像推送到您的存储库中,错误将消失。完成此操作后,您将能够将 docker 镜像推送到您的存储库中,错误将消失。如果您输入的密码正确,则此错误仍然存在,请尝试注销并使用您的凭据重新登录。首先,检查您的 docker hub 凭据是否输入了正确的凭据。
Harbor 添加ssl证书
weixin_43423965的博客
03-31 3632
docker 从docker 仓库中推送或获取镜像都是默认走https协议的。需要配置ssl证书,否则将无法方面,为了解决这以问题,我们有2个方案: > 修改docker配置文件,关闭证书 "insecure-registries"。关闭证书校验 > 配置ssl证书,配置harbor走https协议
容器仓库Harbor安装,给Harbor加入自签名证书
u011830181的博客
02-21 3008
安装Harbor使用Docker进行上传下载,证书验证
威联通qnap使用acme自动更新证书 qnap-acme.sh
01-29
配合neilepang/acme.sh容器,QTS 5.x可用脚本
win-acme 网站https 证书免费申请工具
08-15
1. **自动化证书申请**:win-acme简化了证书申请流程,只需几步操作即可完成。它会自动验证你的域名所有权,并向Let's Encrypt提交请求。 2. **IIS集成**:win-acme与Windows的IIS服务器紧密集成,可以自动配置IIS...
acmebot:使用ACME协议的证书管理器机器人
05-10
使用Let's Encrypt开发和测试该工具时,该工具应可使用ACME协议与任何证书颁发机构一起使用。 特征 此工具不能替代Certbot,也不会尝试复制Certbot的所有功能,特别是它不会修改其他服务的配置文件,也不会提供...
2023年!使用acme为群晖NAS自动部署证书
01-30
使用acme为群晖NAS自动部署证书 之前一直是用的阿里云的免费证书,只能单个域名申请,有效期一年。这样每年都需要进行证书更新,最近真的是头秃了。在查阅不少资料后,发现使用acme可以快速满足需求。 acme.sh是一...
acme.sh 实现了 acme 协议,可以从 Let's Encrypt 生成免费的证书,内含完整源代码
02-22
acme.sh 实现了 acme 协议,可以从 Let's Encrypt 生成免费的证书,内含完整源代码 生成证书 acme.sh 实现了 acme 协议支持的所有验证协议,有两种方式验证: http 验证 和 dns 验证。 1. http 方式 http 方式需要...
Harbor Https 私有证书配置注意事项
01-08
官方文档:https://github.com/goharbor/harbor/blob/master/docs/configure_https.md 想要访问远程的 Harbor,就需要配置 HTTPS 访问。配置过程中,Harbor 服务器和 Docker 客户端都需要进行相应的配置才能让两者互通。 首先按照官方文档生成证书证书名称无所谓)。 使用 IP 访问的情况下,所有域名都可以使用该 IP。 将证书放到指定的位置。 按照文档配置完成后, Docker 客户端还需要配置私有证书认证。 参考这里:https://stackoverflow.com/questions/50768317/
Linux下使用openssl为harbor制作证书
weixin_45432833的博客
10-18 811
使用openssl为harbor制作证书
harbor的https访问方式及自定义证书
haha_yyds的博客
06-27 2151
k8s拉取镜像需要https访问harbor,需要自定义证书
harbor不停机更换自定义证书
u010948569的博客
01-31 1356
harbor不停机更换自定义证书
【运维知识大神篇】运维人必学的Docker教程7(Harbor配置HTTPS证书的两种方式+Harbor两种方案实现高可用+镜像推送至Docker hub官方仓库和阿里云镜像仓库+拉取海外镜像技巧)
吾日三省吾身,想出类拔萃,要把知识学牢,学全,学深,学广。
01-03 1770
本篇文章继续介绍Docker内容,包含Harbor配置HTTPS证书的两种方式(阿里云官方证书与自建证书),Harbor两种方案实现高可用(共享存储目录与主从复制),镜像推送至Docker hub官方仓库和阿里云镜像仓库及拉取海外镜像技巧。
acme.sh给网站域名,申请免费SSL永久证书(自动续期)
热门推荐
09-09 1万+
申请ssl证书,即https有很多,有免费的,也有收费的。如第三方域名管理cloudflare也可以自动添加使用https,而且永久。但是由于有些服务,需要在服务器使用自签证书,所以需要自己申请。免费的可以使用certbot,也可以是使用zeroSSL。Certbot申请免费SSL证书这里,介绍使用acme.sh生成免费的ssl证书,其完整实现了acme协议,并且由纯Shell脚本语言编写,没有过多的依赖项,安装和使用都非常方便。
使用acme,自动续签免费的SSL,无忧http升级https
fendouweiqian的博客
08-28 1275
使用acme自动为网址续签https
acme.sh免费签发SSL证书
云原生运维
12-25 4731
acme.sh 概述 一个纯粹用Shell(Unix shell)语言编写的ACME协议客户端。 完整的ACME协议实施。 支持ACME v1和ACME v2 支持ACME v2通配符证书 简单,功能强大且易于使用。你只需要3分钟就可以学习它。 Let's Encrypt免费证书客户端最简单的shell脚本。 纯粹用Shell编写,不依赖于python或官方的Let's Encrypt客户端。 只需一个脚本即可自动颁发,续订和安装证书。 不需要root/sudoer访问权限。 支持在Doc
acme 自动证书管理
06-10
使用 ACME,您可以轻松地自动化证书颁发和更新过程,从而减轻了管理 SSL/TLS 证书的负担。 以下是一些常见的 ACME 客户端工具: 1. Certbot:Certbot 是由 Let's Encrypt 开发的一个免费、开源的自动化证书管理...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值