Harbor https证书生成及Openssl 常用命令

已于 2023-04-12 19:02:20 修改
阅读量959 收藏 1
点赞数
分类专栏: Openssl 文章标签: 服务器 ssl https
于 2023-04-12 18:57:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43798031/article/details/130114256
版权

Harbor 证书生成 

生成证书颁发机构证书
在生产环境中,您应该从CA获得证书。在测试或开发环境中,您可以生成自己的CA。要生成CA证书,请运行以下命令。

1、生成CA证书私钥。

#创建目录保存证书(可选)
mkdir -p /root/harbor/ssl
cd /root/harbor/ssl

openssl genrsa -out ca.key 4096


2、生成CA证书。

调整-subj选项中的值以反映您的组织。如果使用FQDN连接Harbor主机,则必须将其指定为通用名称(CN)属性。

openssl req -x509 -new -nodes -sha512 -days 3650 \
 -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=registry.harbor.com" \
 -key ca.key \
 -out ca.crt


如果使用IP地址,需要在执行以上命令前执行以下操作:

cd /root
openssl rand -writerand .rnd
cd -


生成服务器证书
证书通常包含一个.crt文件和一个.key文件,例如yourdomain.com.crt和yourdomain.com.key。

1、生成私钥。
openssl genrsa -out registry.harbor.com.key 4096

2、生成证书签名请求(CSR)。

调整-subj选项中的值以反映您的组织。如果使用FQDN连接Harbor主机,则必须将其指定为通用名称(CN)属性,并在密钥和CSR文件名中使用它。

openssl req -sha512 -new \
    -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=registry.harbor.com" \
    -key registry.harbor.com.key \
    -out registry.harbor.com.csr

3、生成一个x509 v3扩展文件。

无论您使用FQDN还是IP地址连接到Harbor主机,都必须创建此文件,以便可以为您的Harbor主机生成符合主题备用名称(SAN)和x509 v3的证书扩展要求。替换DNS条目以反映您的域。

cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names

[alt_names]
DNS.1=registry.harbor.com
DNS.2=registry.harbor
DNS.3=harbor
EOF

如果使用ip,需要使用如下方式进行创建:

cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = IP:192.168.93.9
EOF


4、使用该v3.ext文件为您的Harbor主机生成证书。

将yourdomain.comCRS和CRT文件名中的替换为Harbor主机名。

openssl x509 -req -sha512 -days 3650 \
    -extfile v3.ext \
    -CA ca.crt -CAkey ca.key -CAcreateserial \
    -in registry.harbor.com.csr \
    -out registry.harbor.com.crt

提供证书给Harbor和Docker

生成后ca.crt,yourdomain.com.crt和yourdomain.com.key文件,必须将它们提供给harbor和docker,和重新配置harbor使用它们。

1、将服务器证书和密钥复制到Harbor主机上的certficates文件夹中。

mkdir -p /data/cert
cp registry.harbor.com.crt /data/cert/
cp registry.harbor.com.key /data/cert/

2、转换yourdomain.com.crt为yourdomain.com.cert,供Docker使用。
Docker守护程序将.crt文件解释为CA证书,并将.cert文件解释为客户端证书。

openssl x509 -inform PEM -in registry.harbor.com.crt -out registry.harbor.com.cert


3、将服务器证书,密钥和CA文件复制到Harbor主机上的Docker证书文件夹中。您必须首先创建适当的文件夹。

mkdir -p /etc/docker/certs.d/registry.harbor.com/
cp registry.harbor.com.cert /etc/docker/certs.d/registry.harbor.com/
cp registry.harbor.com.key /etc/docker/certs.d/registry.harbor.com/
cp ca.crt /etc/docker/certs.d/registry.harbor.com/

如果将默认nginx端口443映射到其他端口,请创建文件夹/etc/docker/certs.d/yourdomain.com:port或/etc/docker/certs.d/harbor_IP:port。(省略)

Openssl 常用命令

查看私钥内容 #以纯文本格式输出私钥内容
openssl rsa -in docker2.xxxx.com.key  -text

#不输出私钥内容
openssl rsa -in docker2.xxxx.com.key  -text -noout

#将生成私钥加密
openssl rsa -in docker2.xxxx.com.key -des3 -passout pass:123456  -out docker2.xxxx.com.key

#读取加密的私钥
openssl rsa -in docker2.xxxx.com.key -passin pass:123456

#从私钥中提取公钥
openssl rsa -in docker2.xxxx.com.key -passin pass:123456   -pubout -out public.key 

#读取公钥内容
openssl rsa  -pubin -in public.key       

#以文本格式输出公钥内容
openssl rsa -pubin -in public.key -text

#不输出公钥内容
openssl rsa -pubin -in public.key -text -noout    

check检测私钥文件的一致性,查看私钥文件被修改过。
openssl rsa -in docker2.xxxx.com.key -check



查看crt证书的内容
openssl x509 -in apiserver.crt -text -noout 

查看csr证书的内容
openssl req -text -noout -in ca.csr

Linux下使用opensslharbor制作证书
weixin_45432833的博客
10-18 972
使用opensslharbor制作证书
Harbor的安装部署、主从备份及使用
weixin_45642360的博客
05-28 1980
Harbor 是一个用于存储和分发 Docker 镜像的企业级 Registry 服务器。 ①Harbor 可以根据角色灵活的进行权限控制,如访客只需给 pull 权限即可。 ②Harbor 可以实现镜像同步。生产环境中对系统稳定性要求高,多个仓库可保证其高可用性。更常用的场景是,在企业级软件环境中,会在软件开发的不同阶段存在不同的镜像仓库。 ③Harbor 可利用图形界面进行镜像的管理。 ④Harbor 提供分层传输机制,优化网络传输:Docker 镜像是是分层的,而如果每次传输都使用全量文件
Harbor2.11.1生成自签证和配置HTTPS访问
xikui1551的博客
11-20 1945
Harbor和docker配置HTTPS访问
案例9.Harbor 安全 Https 配置
最新发布
weixin_56408536的博客
03-10 1240
官方文档:https://goharbor.io/docs/2.12.0/install-config/configure-https/此行必须是网站的域名,而且 harbor 主机的 /etc/hosts可以不解析此域名,不能是 IP 地址,否则登录时会报如下错误。下载地址: https://github.com/docker/compose/releases。下载地址: https://github.com/goharbor/harbor/releases。Web界面 – 项目 – 新建项目。
harbor配置私有证书使用docker连接
AAAblues的博客
05-08 821
生成CA证书私钥。 openssl genrsa -out ca.key 4096 生成CA证书。 调整-subj选项中的值以反映您的组织。如果使用FQDN连接Harbor主机,则必须将其指定为通用名称(CN)属性。 openssl req -x509 -new -nodes -sha512 -days 3650 \ -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=yourdomain.com" \ -key ca.key \ -
harbor配置https生成配置证书
睡不醒的双眼皮的博客
09-25 693
【代码】harbor配置https生成配置证书
Shell——harbor证书生成(https)
北城半夏
05-02 1258
文章目录脚本简介脚本注解修改方式问题记录443端口被占用后登录私有仓库时出错执行方式脚本内容 脚本简介 基于运维统一脚本中,4、实用shell脚本下的1) 实用shell脚本选项harbor证书生成脚本 系统版本Centos7 脚本注解 该脚本为生成harbor的自签证的证书,给harbor去使用 把该脚本复制到部署harbor服务器上,修改完成配置后,执行脚本即可 执行脚本结束后,所需的证书存放在脚本所在目录下的ssl harbor使用的证书:cd ssl/data/目录下 docker客户端使用
harbor https自签名证书生成及配置(helm方式安装harbor
学亮编程手记
03-21 856
【代码】harbor https自签名证书生成及配置(helm方式安装harbor
harbor 生成证书颁发给指定用户
05-13
1. 使用 `openssl` 工具生成证书 ``` openssl req -new -newkey rsa:2048 -nodes -keyout user.key -out user.csr ``` 该命令将生成一个 RSA 密钥对和一个证书签名请求文件。在生成过程中,您需要输入一些信息,如...
云计算———虚拟化技术镜像的构建及Harbor的使用(四)
benziwu的博客
11-13 614
VMware开源的企业级Registry项目Harbor,以Docker公司开源的registry 为基础,提供了管理UI, 基于角色的访问控制(Role Based Access Control),AD/LDAP集成、以及审计日志(Audit logging) 等企业用户需求的功能,同时还原生支持中文,主要特点:基于角色的访问控制 - 用户与 Docker 镜像仓库通过“项目”进行组织管理,一个用户可以对多个镜像仓库在同一命名空间(project)里有不同的权限。
【Linux】测试环境之自签名证书
qq_32589989的博客
08-30 2255
在Linux服务器上使用SSL/TLS加密通信时,自签名证书可以为开发和测试环境提供一种简单的解决方案。虽然自签名证书不适合生产环境,因为它们不会被浏览器和操作系统信任,但它们在内部应用的开发和测试环境中非常实用。提示:以下是本篇文章正文内容,下面案例可供参考自签名证书在开发和测试环境中提供了一个方便的解决方案,允许你在不依赖外部认证机构的情况下实现HTTPS加密。虽然在生产环境中使用自签名证书不推荐,但掌握如何生成和配置自签名证书是每个Linux管理员的基本技能。
harbor-https-cfssl生成证书
05-28
harbor-https cfssl 生成证书
Harbor Https 私有证书配置注意事项
01-08
官方文档:https://github.com/goharbor/harbor/blob/master/docs/configure_https.md 想要访问远程的 Harbor,就需要配置 HTTPS 访问。配置过程中,Harbor 服务器和 Docker 客户端都需要进行相应的配置才能让两者互通。 首先按照官方文档生成证书证书名称无所谓)。 使用 IP 访问的情况下,所有域名都可以使用该 IP。 将证书放到指定的位置。 按照文档配置完成后, Docker 客户端还需要配置私有证书认证。 参考这里:https://stackoverflow.com/questions/50768317/
Harbor 1.7部署
HF的博客
04-15 1529
新版本Harbor 1.7新增功能 相比harbor 1.5 版本,harbor 新增一下功能 镜像构建历史 -用户可查看容器镜像的构建历史和内容; 镜像复制(retagging) -提供了在镜像上传至Harbor后重新创建镜像tag的能力。此功能在CI流水线中提升镜像到生产状态或者通过编程方式重新tag镜像,亦或将特定镜像重新tag或者移动到其它...
Harbor使用HTTPS访问
qq_39698849的博客
07-29 409
说明:本脚本只创建密钥,脚本是借鉴所有各个大神,自己重新书写一份,官方的已经写的狠清楚了,直接粘贴过来变一些变量就可以了,如有不对,欢迎指正。 #!/binsh # Date: 2021/6/25 # Author: # Desc: # Harbor:v2.2.1 # The created key cannot be stored in the harbor storage path, because executing ./prepare will clear the data in the pa
harbor仓库常用命令
emmmmmaoni的博客
09-19 503
harbor学习
安装容器仓库harbor,制作CA证书
weixin_46018506的博客
04-26 858
环境: Python版本需要2.7版本或更高版本。 Dockery引擎需要1.10或更高版本。 Docker Compose需要1.6.0或更高版本。 下载的harbor的离线包 官方下载地址 https://github.com/goharbor/harbor/releases 本次下载的是,harbor.v.2.5.0.tar.gz 下载离线包 wget -P /root https://github.com/goharbor/harbor/releases/download/...
harbor的日常管理
weixin_30538029的博客
06-16 214
有情提示:docker-compose需要在 docker-compose.yml 存放的目录下执行。 1、Stopping Harbor: #docker-compose stop Stopping nginx ... done Stopping harbor-jobservice ... done Stopping harbor-ui ... done Stopping harbor...
docker&harbor中的常用命令
Edidaughter的博客
03-24 3583
docker ps docker start ` docker ps -a | grep harbor | awk '{print $1}'` 重启harbor相关服务
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Cloud孙文波

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值