官网地址:https://goharbor.io/docs/1.10/install-config/configure-https/
在已经安装好harbor之后,配置HTTPS
以下过程假设您的 Harbor 注册表的主机名是yourdomain.com,并且其 DNS 记录指向您运行 Harbor 的主机。(我的hostsname是registry.test.myop.com,在下面的图片中会有展示)
首先停止harbor服务
docker-compose down -v
修改相关配置文件
(我这里修改的是安装时使用的harbor.yml)
(1)、首先注释掉http的相关配置代码
(2)、将相关的https的注释取消
hostname是之后要生成证书的名称
是配置的证书存放的位置(证书的生成在后面介绍)
certificate: /data/cert/registry.test.myop.com.crt
private_key: /data/cert/registry.test.myop.com.key
按照官方文档Harbor生成证书。
注意:下面的registry.test.myop.com是harbor.yml文件中配置的hostname!!!
新建证书保存文档:
mkdir -p /data/cert
#转到新建的文本文档下,执行下面的证书生成命令
cd -p /data/cert
生成 CA 证书私钥。
openssl genrsa -out ca.key 4096
生成 CA 证书。
调整-subj选项中的值以反映您的组织。如果使用 FQDN 连接 Harbor 主机,则必须将其指定为公用名 ( CN) 属性。
openssl req -x509 -new -nodes -sha512 -days 3650 \
-subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=yourdomain.com" \
-key ca.key \
-out ca.crt
生成服务器证书
证书通常包含一个.crt文件和一个.key文件,例如,yourdomain.com.crt和yourdomain.com.key.
生成私钥。
openssl genrsa -out yourdomain.com.key 4096
生成证书签名请求 (CSR)
调整-subj选项中的值以反映您的组织。如果使用 FQDN 连接 Harbor 主机,则必须将其指定为公用名 ( CN) 属性并在密钥和 CSR 文件名中使用它。
openssl req -sha512 -new \
-subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=yourdomain.com" \
-key yourdomain.com.key \
-out yourdomain.com.csr
生成 x509 v3 扩展文件。
无论您是使用 FQDN 还是 IP 地址连接到您的 Harbor 主机,您都必须创建此文件,以便为您的 Harbor 主机生成符合主题备用名称 (SAN) 和 x509 v3 的证书扩展要求。替换DNS条目以反映您的域。
(下面的命令针对hostname做修改之后,直接执行即可)
cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1=yourdomain.com
DNS.2=yourdomain
DNS.3=hostname
EOF
使用该v3.ext文件为您的 Harbor 主机生成证书。
将yourdomain.comCRS 和 CRT 文件名中的 替换为 Harbor 主机名。
openssl x509 -req -sha512 -days 3650 \
-extfile v3.ext \
-CA ca.crt -CAkey ca.key -CAcreateserial \
-in yourdomain.com.csr \
-out yourdomain.com.crt
向 Harbor 和 Docker 提供证书
生成后ca.crt,yourdomain.com.crt和yourdomain.com.key文件,必须将它们提供给港口和码头工人,和重新配置港使用它们。
将服务器证书和密钥复制到 Harbor 主机上的 certficates 文件夹中。
cp yourdomain.com.crt /data/cert/
cp yourdomain.com.key /data/cert/
转换yourdomain.com.crt为yourdomain.com.cert,供 Docker 使用。
Docker 守护进程将.crt文件解释为 CA 证书,将.cert文件解释为客户端证书。
openssl x509 -inform PEM -in yourdomain.com.crt -out yourdomain.com.cert
将服务器证书、密钥和 CA 文件复制到 Harbor 主机上的 Docker 证书文件夹中。您必须先创建适当的文件夹。
cp yourdomain.com.cert /etc/docker/certs.d/yourdomain.com/
cp yourdomain.com.key /etc/docker/certs.d/yourdomain.com/
cp ca.crt /etc/docker/certs.d/yourdomain.com/
如果您将默认nginx端口 443映射到其他端口,请创建文件夹/etc/docker/certs.d/yourdomain.com:port或/etc/docker/certs.d/harbor_IP:port
重启 Docker 引擎。
systemctl restart docker
重启harbor服务
docker-compose up -d