harbor不停机更换自定义证书

已于 2024-03-26 16:51:10 修改
阅读量1.3k 收藏 1
点赞数
分类专栏: kubernetes 文章标签: https docker 网络协议
于 2023-01-31 17:14:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010948569/article/details/128820626
版权

1、问题起源

今天在使用docker推镜像提示证书问题,查看是harbor的自签名证书过期了,报错如下

在这里插入图片描述

由于harbor是使用helm部署,以容器方式运行在k8s集群中,无法直接修改证书信息,需要通过更新secret更新证书

2、生成自签名证书

X.509证书包含三个文件:key,csr,crt

  • key是服务器上的私钥文件,用于对发送给客户端数据的加密,以及对从客户端接收到数据的解密

  • csr是证书签名请求文件,用于提交给证书颁发机构(CA)对证书签名

  • crt是由证书颁发机构(CA)签名后的证书,或者是开发者自签名的证书,包含证书持有人的信息,持有人的公钥,以及签署者的签名等信息

    备注:在密码学中,X.509是一个标准,规范了公开秘钥认证、证书吊销列表、授权凭证、凭证路径验证算法等

2.1、创建存放证书路径

mkdir -p /data/cert && cd /data/cert

2.2、创建 CA 根证书

openssl req  -newkey rsa:4096 -nodes -sha256 -keyout ca.key -x509 -days 365 -out ca.crt -subj "/C=CN/L=zhejiang/O=lisea/CN=harbor-registry"
#-days指定过期时间

2.3、生成一个证书签名, 设置访问域名为 kevinharbor.com

openssl req -newkey rsa:4096 -nodes -sha256 -keyout kevinharbor.com.key -out server.csr -subj "/C=CN/L=zhejiang/O=lisea/CN=kevinharbor.com"

2.4、生成主机的证书

openssl x509 -req -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out kevinharbor.com.crt

3、更新secret

3.1、获取原始secret文件

helm get manifest xxx  | grep xxx-harbor-nginx  #找到Secret 的name

3.2、获取secret

kubectl edit secret labc-repo-harbor-nginx

apiVersion: v1
kind: Secret
metadata:
  name: xxx-harbor-nginx
  labels:
    heritage: Helm
    release: xxx
    chart: harbor
    app: "harbor"
type: Opaque
data:
  tls.crt: "..."
  tls.key: "..."
  ca.crt: "..."

3.3、使用base64加密自签名证书,将加密后的证书更新到Secret文件

3.5、更新secret文件

kubectl create -f secret.yaml

3.6、重启harbor的nginx容器,更新docker依赖的证书即可

云原生IT民工
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
更新harbor证书
欢迎你们到来,希望能帮到大家
12-25 1333
Harbor更新证书
harbor-https-cfssl生成证书
05-28
这将生成`harbor-server.pem`(服务器证书)和`harbor-server-key.pem`(服务器密钥)。 3. **配置Harbor**: 将生成的证书和密钥文件复制到Harbor的配置目录,通常是在`/etc/harbor/ssl`。修改Harbor的配置文件`...
安装和配置Harbor镜像仓库
最新发布
05-13
主要介绍关于harbor的基本简介和harbor的安装,安装前的证书的相关生成和签发等的相关操作步骤
K8S异常之Harbor证书过期处理(完整版流程)
一掬净土
03-03 1697
在登录harbor仓库时, 提示证书已经过期。
harbor仓库部署及配置自建证书
LoveYourelf的博客
06-15 883
docker程序认为"*.crt"文件是CA证书文件,"*.cert"客户端证书文件,于是上面第五步需要转换一下,其实使用cp一下也是可以的,内容并没有变化。1)创建自定义域名的证书存放路径(注意,下面的"harbor.linuxmc.com"改成你自己的自签域名)(4)使用"v3.ext"给harbor主机签发证书。(5)将crt文件转换为cert客户端证书文件。(1)创建证书目录并进入到证书目录。(2)生成harbor主机的证书申请。(3)生成ca的自签名证书。(1)生成harbor主机的私钥。
Harborharbor仓库证书过期处理步骤
qq_51417587的博客
01-13 1427
harbor仓库证书更新
记一次harbor2.4.3证书更换问题处理过程与分析
qq1314233的博客
08-03 481
4.在harbor安装目录下面执行docker-compose down 停止所有容器,再执行docker-compose up -d 来重启所有容器,再查看所有容器状态。8.最后我使用./install --with-chartmuseum --with-notary --with-trivy来重启所有容器,ok,问题解决。7.这与我们前面的13个容器不一样,登录ui页面也登录不了,而且docker-compose.yml文件也变了,我仔细查看了另外4个容器的镜像。
未使用自定义secret并且使用helm安装harhor证书过期处理方法
潮落拾贝
05-17 405
直接使用helm安装harbor,在secret中的harbor-ingress的证书有效期是1年,过期后的处理方法需要用helm卸载harhor,并用harbor在原配置的基础上再重装一次就可以解决。我承认这是个笨方法,也许还有别的办法,不过我这里是使用上述办法实验成功的。重装不用害怕数据丢失只要你之前harbor安装时数据已经持久化到存储或本地硬盘上了,一般重装不会丢数据。
harborhttps访问方式及自定义证书
haha_yyds的博客
06-27 2151
k8s拉取镜像需要https访问harbor,需要自定义证书
Harbor Https 私有证书配置注意事项
01-08
首先按照官方文档生成证书证书名称无所谓)。 使用 IP 访问的情况下,所有域名都可以使用该 IP。 将证书放到指定的位置。 按照文档配置完成后, Docker 客户端还需要配置私有证书认证。 参考这里:...
Harbor安装配置保姆级教程
06-14
Harbor安装配置.pdf
harbor在线安装包
10-25
harbor在线安装包
harbor证书更换
08-24 412
检查docker-comoser.yml文件,参看nginx部分,发现做了持久化。所以更新证书文件到这里,覆盖之前的server.crt和server.key。也不用使用docker-compose把服务全部重启,只重启ng容器即可。上面的ce540caa5355就是nginx 的docker 容器ID。重启完成后验证证书更新完成。发现证书并没有更新
[问题已处理]-harbor更新ssl证书
爷来辣的博客
03-25 701
cat docker-compose.yml 对应的证书也需要更新。导语:harbor证书过期更新ssl证书。格式. 否则可能出现401的情况。直接更新harbor数据库密码。遇到的问题:下载下来的证书
容器仓库Harbor安装,给Harbor加入自签名证书
u011830181的博客
02-21 3009
安装Harbor,使用Docker进行上传下载,证书验证
docker 无法拉取harbor中的镜像
qq_39314099的博客
03-17 2452
docker 可以从远程镜像仓库(harbor)中拉取镜像。有时候会遇到拉取镜像失败: 根据提示可以看出,这应该是由于没有配置host文件导致的,可以配置host或者直接用ip。 配置好host后,再次尝试拉取,报错缺少证书。 取harbor中的证书ca.crt,放在本机的/etc/docker/certs.d/harbor.cop.com:8443目录下,再拉取即可成功: ...
Kubernetes之kubeadm集群优化篇—harbor添加更新SSL证书
J_Lee
11-27 749
Kubernetes之kubeadm集群优化篇—harbor添加更新SSL证书
Linux下使用openssl为harbor制作证书
weixin_45432833的博客
10-18 811
使用openssl为harbor制作证书
helm安装harbor后登陆一直提示账户或密码错误
u010948569的博客
03-04 4720
helm安装harbor后登陆一直提示账户或密码错误 问题现象如下图 用户名:admin/Harbor12345 删除已经部署的harbor release,并删除数据库使用的存储上的数据,这个根据自己定义存储的方式不同,位置也不同 编辑values.yaml文件 type:访问 Harbor服务的方式。本示例使用 nodePort。 tls:指定是否启用 HTTPS。多数情况下设置为 false,这里我们使用的是false externalURL:暴露给租户的 URL。 externalURL:
harbor使用阿里ssl证书
06-28
### 回答1: Harbor是一个企业级的Docker镜像仓库,在企业中被广泛使用。为了确保Harbor的安全性,防止数据泄露和攻击,阿里云为其提供了SSL证书。SSL证书(Secure Sockets Layer)是一种网络协议,它在客户端与服务器之间创建一个加密连接,从而提供网络通信的安全性。 使用SSL证书可以确保Harbor的安全性,使得数据在传输过程中不会被泄露或者被黑客攻击。阿里云提供的SSL证书具有高度的安全性和可靠性,可以大大提高Harbor的安全性和稳定性。 总的来说,阿里云提供的SSL证书是一项非常重要的技术支持,可以确保Harbor的安全性和稳定性。同时,人们在使用Harbor的时候也可以感受到更好的用户体验,提高工作效率和安全性。 ### 回答2: Harbor是一个企业级的开源容器镜像仓库,旨在帮助用户管理和存储Docker镜像,同时为用户提供了丰富的安全性管理功能,其中就包括基于阿里SSL证书的安全性管理。 SSL证书是用于加密通信的一种数字证书,可以确保数据传输的安全性和私密性。阿里云的SSL证书可以为Harbor提供强大的加密解密功能,以确保用户的数据得到充分的保护。 具体而言,Harbor使用的是阿里云的SSL证书服务。当用户访问Harbor时,其浏览器会发送一个连接请求,Harbor服务器会将分配给其的SSL证书发送给浏览器,这个SSL证书可以包含其公钥和其数字签名。浏览器会验证证书的签名并将其公钥解析出来。之后,浏览器和Harbor服务器之间所有的通信都将使用这个公钥进行加密和解密,保证了通信过程中的数据安全性。 总的来说,使用阿里SSL证书可以为Harbor带来更加安全的通信和存储环境,可以保证用户数据的私密性和保密性,同时也帮助用户更好地掌控和管理自己的镜像仓库。 ### 回答3: Harbor是一款开源的容器registry,它以私有仓库的形式为企业提供容器镜像管理服务。而SSL证书则是保证HTTPS秘钥交换过程中通讯安全的加密证书。阿里云提供的SSL证书服务能够为Harbor提供更加安全可靠的镜像管理服务。 阿里SSL证书是一款全球领先的数字证书品牌,提供了具有高度可信性和安全性的安全服务。不仅在国内,在全球范围内都享有较高的知名度和声誉。而Harbor为企业提供镜像管理服务,为企业应用提供了高效、便捷的操作流程和开发工具,其针对企业需求的定制化服务以及同时考虑到用户的使用体验,阿里SSL证书的运用增加了整个应用服务的安全性,为企业的数据安全提供了更加可靠的保障。 此外,阿里云SSL证书提供了多种安全验证和颁发模式,能根据企业的不同需求提供个性化的解决方案。同时,阿里SSL证书的自动化管理功能也大大减轻了企业管理人员在应用部署和管理方面的工作量,提高了部署效率、节省了时间和人力成本。 因此,Harbor使用阿里SSL证书,就能为企业提供更加高效、安全的容器镜像管理服务,满足企业更加高端、个性化的需求,为企业的应用服务提供更可靠的保障。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值