一、生成证书颁发机构证书
1、生成 CA 证书私钥
openssl genrsa -out ca.key 4096
2、生成 CA 证书
# 调整 -subj 选项中的值以反映您的组织
openssl req -x509 -new -nodes -sha512 -days 3650 \
-subj "/C=CN/ST=Shanghai/L=Shanghai/O=Company/OU=IT/CN=harbor.mshxuyi.com" \
-key ca.key \
-out ca.crt
二、生成服务器证书
证书通常包含一个 .crt 文件和一个 .key 文件
1、生成私钥
openssl genrsa -out harbor.mshxuyi.com.key 4096
2、生成证书签名请求(CSR)
openssl req -sha512 -new \
-subj "/C=CN/ST=Beijing/L=Beijing/O=Company/OU=IT/CN=harbor.mshxuyi.com" \
-key harbor.mshxuyi.com.key \
-out harbor.mshxuyi.com.csr
3、生成一个 x509 v3 扩展文件
cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1=harbor.mshxuyi.com
DNS.2=harbor.mshxuyi.com
DNS.3=harbor.mshxuyi.com
EOF
4、使用该 v3.ext 文件为您的Harbor主机生成证书
openssl x509 -req -sha512 -days 3650 \
-extfile v3.ext \
-CA ca.crt -CAkey ca.key -CAcreateserial \
-in harbor.mshxuyi.com.csr \
-out harbor.mshxuyi.com.crt
5、将服务器证书和密钥复制到Harbor主机上的/data/cert/
文件夹中
mkdir -p /data/cert/
cp harbor.mshxuyi.com.crt /data/cert/
cp harbor.mshxuyi.com.key /data/cert/
三、配置 Docker 证书
1、转换 crt 为 cert,供Docker使用
# Docker守护程序将.crt文件解释为 CA 证书,并将 .cert 文件解释为客户端证书
openssl x509 -inform PEM -in harbor.mshxuyi.com.crt -out harbor.mshxuyi.com.cert
2、将服务器证书,密钥和CA文件复制到 Harbor 主机上的 Docker 证书文件夹中
mkdir -p /etc/docker/certs.d/harbor.mshxuyi.com/
cp harbor.mshxuyi.com.cert /etc/docker/certs.d/harbor.mshxuyi.com/
cp harbor.mshxuyi.com.key /etc/docker/certs.d/harbor.mshxuyi.com/
cp ca.crt /etc/docker/certs.d/harbor.mshxuyi.com
四、修改配置文件
hostname: harbor.mshxuyi.com
http:
port: 80
https:
port: 443
certificate: /data/cert/harbor.mshxuyi.com.crt
private_key: /data/cert/harbor.mshxuyi.com.key
external_url: https://harbor.mshxuyi.com
………………
五、重启
# 重启docker
systemctl restart docker
# 停止
docker-compose down -v
# 重新生成配置文件
./prepare --with-notary --with-clair --with-chartmuseum
# 启动
docker-compose up -d
六、其它服务器要推送镜象到 Harbor,也要配置证书目录