linux安装docker crt证书,搭建Docker镜像仓库Harbor,并配置https证书

最新推荐文章于 2023-01-17 19:51:52 发布
最新推荐文章于 2023-01-17 19:51:52 发布
阅读量774 收藏 1
点赞数
文章标签: linux安装docker crt证书

准备环境

软件版本信息

操作系统:

操作系统版本不一定要最新的,但是操作系统Linux内核版本必须在3.10以上。

安装fedora的时候需要选择“容器管理”才会安装docker相关服务及命令。

2684a29be1f3b78f9f40b9bcff4d30ea.png

安装完成之后需要使用如下命令启动docker服务:

然后可以使用 docker version 命令查看docker的版本信息,Fedora默认安装的是1.13版本。

安装系统的时候,docker-compose是默认没有的,需要单独安装,安装方法参考下一小节。尽量安装最新发布的版本。

docker-compose:

harbor : v1.4.0

安装docker-compose

docker为Fedora Server自带,无需安装,没有docker-compose,需要安装。docker-compose的github地址为:https://github.com/docker/compose

点击到“release”标签页查看发布的版本,直接使用github上的命令进行安装:

关闭防火墙与SELinux【非常重要】

下载并安装harbor

下载harbor离线安装包

配置harbor.cfg

由于启用了https,因此配置了https的证书,主要修改了如下配置:

需要修改的内容如下:

1. hostname:填写域名信息,慎重填写,以后将要使用的进项将以此为前缀,比如域名是wangxianfeng.cn,以后的镜像名称就是类似如下:wangxianfeng.cn/test/webserver:1.0

2. customize_crt = off 不知道干嘛的,关了就得了

3. ssl_cert和ssl_cert_key这2个配置的是生成的ssl相关的内容,根据后缀名配置即可。

4. secretkey_path【非常重要】此路径需要和下面docker-compose.yml文件中的相关配置保持一致,比如此处配置的是:/home/wangxianfeng/harbor/data,然后会在此目录下生成1个secretkey的文件,保存着adminserver和ui要使用的key,具体做什么的我也不知道。

5. harbor_admin_password登录web页面的时候admin用户的密码

6. db_password数据库的密码,为了安全起见,还是要改下。

修改docker-compose.yml配置

harbor使用docker-compose进行组合在一起的,相关的配置全部在此进行配置。现在把文件全部内容贴在这里,需要修改的内容我注释一下。

生成https CA证书

1.制作CA证书:

ca.key CA私钥:

制作解密后的CA私钥(一般无此必要):

ca.crt CA根证书(公钥):

2.制作生成网站的证书并用CA签名认证

在这里,假设网站域名为harbor.wangxianfeng.cn

生成harbor.wangxianfeng.cn证书私钥:

制作解密后的harbor.wangxianfeng.cn证书私钥:

生成签名请求:

在common name中填入网站域名,如harbor.wangxianfeng.cn即可生成改站点的证书,同时也可以使用泛域名如*.wangxianfeng.cn来生成所有二级域名可用的网站证书。

用CA进行签名:

其中,policy参数允许签名的CA和网站证书可以有不同的国家、地名等信息,days参数则是签名时限。

如果在执行签名命令时,出现“I am unable to access the ../../CA/newcerts directory”

修改/etc/pki/tls/openssl.cnf中“dir = ./CA”

然后:

再重新执行签名命令。

最后,把ca.crt的内容粘贴到harbor.wangxianfeng.cn.crt后面。这个比较重要!因为不这样做,可能会有某些浏览器不支持。

好了,现在https需要到的网站私钥harbor.wangxianfeng.cn.key和网站证书harbor.wangxianfeng.cn.crt都准备完毕。

执行install.sh进行安装

如果一切配置好,在当前目录下执行如下命令,即可正常启动harbor

此命令会准备好所有的镜像,然后启动harbor相关的所有容器,启动之后的容器有如下几个:

此时便可以通过https://domainname或者https://ip的方式进行访问。

2f67c6cf146499ba526d643d2e642d99.png

使用harbor

新建项目&管理项目

点击左侧的“项目”菜单,点击“新建项目”按钮,输入项目名称,设置访问级别,公开表示不用认证也可以读取项目里的镜像,非公开表示只有项目的成员才能读取该项目里的镜像。为了安全起见,还是设置为非公开。这里创建了一个xf的项目:

3adc3923d914750e95a9cbdc583a5a6c.png

刚刚新建完成的项目没有任何镜像,因此镜像仓库显示为空。创建项目使用的是admin用户,但是下载镜像不应该使用admin用户,因此可以新建一个开发人员的用户,把新建用户加入到项目成员当中去。

df0f8288e6ef91dc33906271f96a1112.png

添加到项目成员当中,角色为开发人员:

8ee93eaf9038e4feccb31839b22dae7c.png

这样就可以用新建的用户进行镜像的push和pull操作了。

镜像的push与pull操作

创建镜像仓库就是为了存储镜像的,因此下面的步骤就去存储和下载镜像,首先下载一个测试的镜像nginx

然后标记新的镜像(版本设置为1.0):

然后使用docker iamges命令查看新的镜像是否已经生成

这时先不要着急push,因为还有一个重要的步骤需要完成

此时打开网页访问harbor.wangxianfeng.cn时就会提示ssl不安全的连接,说明ssl添加成功;但是在命令行登陆docker仓库时不成功的。[用Ip登陆则成功]

错误信息类似如下:

解决方法:停止服务:

创建对应目录:

启动服务:

再次登陆,成功了:

然后就可以push镜像到仓库了:

可以在harbor前台查看刚刚push的镜像:

d53969f8ea7feecf090b235d1976bdc7.png

1877880865c3fd095c33b994c7d35b2e.png

测试一下新上传的镜像

首先删除当前机器上所有nginx镜像

从新的仓库pull镜像下来:

然后运行一个容器:

把nginx的80端口映射到本地的8098端口,然后直接访问此机器的8098端口,看看是否能够访问:

efd40eccce4107b17c5905695ad4af07.png

完美!

再测试一下非项目成员能够读取镜像

新建用户xianfeng,不加入到xf项目成员当中

然后命令行操作如下:

Perfect!The end!

weixin_39610415
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Dockerfile的构建镜像及ssl证书配置
qq_40260565的博客
12-19 2543
Dockerfile的构建镜像及ssl证书配置前言一、pom中配置docker插件二、Dockerfile配置三、目录结构四、证书生成五、参考过的文章 前言 本篇文章主要记录如何在docker file中配置ssl证书 一、pom中配置docker插件 <build> <plugins> <plugin> <groupId>com.spotify</groupId>
Docker镜像加入可信任证书
ミ安之偌素
11-20 4246
在使用容器访问一个自签名证书站点的时候碰到如下报错: curl: (60) SSL certificate problem: unable to get local issuer certificate More details here: https://curl.haxx.se/docs/sslcerts.html curl failed to verify the legitimacy ...
Docker中运行nginx并挂载本地目录到镜像中并且包含ssl证书挂载
wx479的博客
07-04 911
linux docker nginx配置以及nginx https请求配置
记录docker镜像证书验证失败导致更新不成功
门前大橋下丶
11-25 3712
使用apt update进行更新时报以下错误 root@yzw-home:~# sudo apt update 忽略:1 https://home-packages.chinauos.com/home plum InRelease 忽略:2 https://home-store-packages.chinauos.com/appstore eagle InRelease 忽略:3 https://home-packages.chinauos.com/printer eagle InRelease 错误:4
docker部署jupyterhub+SSL (HTTPS)/证书生成
jiangbenchu的博客
09-03 2315
JUPYTER1、JupyterHub简介2、先决条件3、安装准备可能用到的命令:添加用户到用户组证书生成 1、JupyterHub简介 支持多用户的 Jupyter Notebook 服务器,用于创建、管理、代理多个 Jupyter Notebook 实例。具有扩展性和可定制性。 三个主要演员组成了 JupyterHub: 多用户集线器(龙卷风过程) 可配置的 http代理(node-http-proxy) 多个单用户 Jupyter 笔记本服务器(Python/Jupyter/tornado) 操
Linux离线安装docker镜像
01-31
Linux离线安装docker时资源镜像
docker进阶-搭建私有企业级镜像仓库Harbor
02-25
对于个人来说Dockerhub是个不错的选择,但是对于企业来说,相对于安全,成本和公司的架构来说搭建自己的私有镜像仓库才是正确的道路。Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些...
免费SSL证书申请,Docker容器搭建Nginx配置HTTPS
05-18
申请免费的SSL证书,用docker容器搭建Nginx服务端,详细的Nginx配置ssl证书的方法。
Docker搭建私有镜像仓库的方法
01-10
和Mavan的管理一样,Dockers...现在Docker用处越来越多了,所以今天就想着搭建一个私有镜像仓库来维护内部我们自己的镜像。 环境 CentOS 7.x Docker 1.12.6 安装 docker-distribution $ sudo yum install -y docker
Docker容器镜像安全最佳实践指南
神棍之路
01-17 1088
0x02 Docker 容器安全最佳实践1.主机安全配置1.1 更新docker到最新版本1.2 为容器创建一个单独的分区1.3 只有受信任的用户才能控制docker1.4 审计docker守护进程1.5 审计docker相关的文件和目录2.docker守护进程配置2.1 限制默认网桥上容器之间的网络流量2.2 设置为info2.3 允许 docker 更改iptables2.4 不使用不安全的镜像仓库2.5 建议不使用aufs存储驱动程序。
docker镜像仓库的建立(安全证书和用户认证)
柠檬精哒博客
08-22 5955
便于镜像的直接拉取 将已经暂停的容器都删除 创建钥匙,在创建仓库后,拥有证书钥匙的用户才能使用镜像仓库 安全证书仓库建立 删除所有关闭的容器 [root@foundation23 docker]# docker container prune WARNING! This will remove all stopped containers. Are you sure you wan...
Harbor login 一直提示失败的一个原因,重启docker 证书文件清空
隔壁老瓦的专栏
01-03 3027
查看/etc/docker/certs.d目录下证书是否存在 重新生成: openssl genrsa -out ca.key 4096 openssl req -x509 -new -nodes -sha512 -days 3650 \ -subj "/C=TW/ST=Taipei/L=Taipei/O=example/OU=Personal/CN=harbor.test.com...
linux安装SecureCRT安装教学
qq_43636320的博客
01-12 4005
linux安装SecureCRT安装教学
linux添加crt证书
m0_67394360的博客
08-20 1166
拷贝证书到/usr/share/ca-certificates/下。
Harbor .v1.10.2 私有镜像仓库的自签CA证书安装使用【超详细官方文档翻译说明】...
DevOps海洋的渔夫@专栏
04-21 2502
需求 在以前搭建docker镜像私有仓库的时候,我都是使用registery搭建。本篇章来尝试另一个新的镜像仓库HarborHarbor介绍 Harbor是由VMware公司开源的企业级的Docker Registry管理项目,它包括权限管理(RBAC)、LDAP、日志审核、管理界面、自我注册、镜像复制和中文支持等功能。 它是Docker Registry的更高级封装,它除了提...
linux命令安装crt证书,Linux+Apache下安装SSL证书
weixin_30765637的博客
05-10 1509
原标题:Linux+Apache下安装SSL证书一、Apache安装SSL证书需要三个配置文件温馨提示:安装证书前请先备份您需要修改的服务器配置文件1_root_bundle.crt、2_domainname.com.crt、3_ domainname.com.key。注:这三个文件在文件夹for Apache.zip中,其中domainname.com是您的域名,2_ domainname.co...
linux服务器怎么安装证书,linux服务器证书安装指引
weixin_39567870的博客
04-28 4540
下面提供了3类服务器证书安装方法的示例:1. Apache 2.x 证书部署1.1 获取证书Apache文件夹内获得证书文件 1_root_bundle.crt,2_www.domain.com_cert.crt 和私钥文件 3_www.domain.com.key,1_root_bundle.crt 文件包括一段证书代码 “-----BEGIN CERTIFICATE-----”和“-----E...
linux导入crt证书
qq_35909525的博客
07-15 2669
1、将证书文件放到java的jre目录下 /usr/local/java/jdk1.8.0/jre/lib/security/ 2、到该目录下,执行命令 keytool -import -alias pm -keystore cacerts -file pm.crt -alias pm pm为别名 3、输入密码 默认为changeit 成功 ...
Linux工具CRT安装
Neuclil的博客
10-07 1799
一. 什么是SecureCRT SecureCRT是一款支持SSH(SSH1和SSH2)的终端仿真程序,简单地说是Windows下登录UNIX或Linux服务器主机的软件。SecureCRT是一款用于连接运行包括Windows、UNIX和VMS的理想工具。通过使用内含的VCP命令行程序可以进行加密文件的传输。有流行CRTTelnet客户机的所有特点,包括:自动注册、对不同主机保持不同的特性、打印
linux安装docker拉取镜像
最新发布
09-26
要在Linux安装Docker并拉取镜像,您可以按照以下步骤进行操作: 1. 首先,移除已经安装Docker。您可以使用以下命令来移除Docker及其相关组件: ``` sudo apt-get remove docker docker-engine docker.io ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值