Linux下使用openssl为harbor制作证书

已于 2023-10-19 16:14:44 修改
阅读量811 收藏 4
点赞数
文章标签: linux 运维 服务器
于 2023-10-18 20:17:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45432833/article/details/133913234
版权

openssl是一个功能丰富且自包含的开源安全工具箱。它提供的主要功能有:SSL协议实现(包括SSLv2、SSLv3和TLSv1)、大量软算法(对称/非对称/摘要)、大数运算、非对称算法密钥生成、ASN.1编解码库、证书请求(PKCS10)编解码、数字证书编解码、CRL编解码、OCSP协议、数字证书验证、PKCS7标准实现和PKCS12个人数字证书格式实现等功能。
一、安装

检查是否自带如没有进行安装
[root@192 ~]# openssl version
OpenSSL 1.1.1m  14 Dec 2021
yum -y install openssl

二、生成CA私钥文件

[root@my zhengshu]# openssl genrsa -out ca.key 4096
Generating RSA private key, 4096 bit long modulus (2 primes)
....................................................++++
.......++++
e is 65537 (0x010001)
生成一个4096位的RSA私钥。

三、生成 CA 证书(域名方式)

openssl req -x509 -new -nodes -sha512 -days 3650 \
 -subj "/C=CN/ST=hubei/L=wuhan/O=test/OU=test/CN=my.harbor.com" \
 -key ca.key \
 -out ca.crt

四、生成服务器证书
1、先生成私钥:

openssl genrsa -out my.harbor.com.key 4096

2、生成证书签名请求:

openssl req -sha512 -new \
    -subj "/C=CN/ST=hubei/L=wuhan/O=test/OU=test/CN=my.harbor.com" \
    -key my.harbor.com.key \
    -out my.harbor.com.csr

3、生成 x509 v3扩展文件

cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names

[alt_names]
DNS.1=my.harbor.com
DNS.2=my.harbor
DNS.3=harbor
EOF
无论使用FQDN还是IP地址连接到Harbor主机,都必须创建此文件,以便可以为Harbor主机生成符合主题备用名称(SAN)和x509 v3的证书扩展要求。替换DNS条目以反映所在域

4、使用该v3.ext文件为您的Harbor主机生成证书

openssl x509 -req -sha512 -days 3650 \
    -extfile v3.ext \
    -CA ca.crt -CAkey ca.key -CAcreateserial \
    -in my.harbor.com.csr \
    -out my.harbor.com.crt

五、配置到服务
1、将服务器证书和密钥复制到 Harbor主机证书文件夹中

cp my.harbor.com.crt /data/cert/
cp my.harbor.com.key /data/cert/

2、转换my.harbor.com.crt为my.harbor.com.cert,供Docker使用

openssl x509 -inform PEM -in my.harbor.com.crt -out my.harbor.com.cert

3、将服务器证书、密钥和 CA 文件复制到 Harbor 主机上的 Docker 证书文件夹中

cp my.harbor.com.cert /etc/docker/certs.d/my.harbor.com/
cp my.harbor.com.key /etc/docker/certs.d/my.harbor.com/
cp ca.crt /etc/docker/certs.d/my.harbor.com/

4、重启docker

systemctl restart docker

5、运行 prepare 脚本以启用 HTTPS

./prepare

6、Harbor正在运行,需要先停止并删除现有实例

docker-compose down -v

7、重新启动Harbor

docker-compose up -d

8、登录验证
在这里插入图片描述

本次配置到harbor里可以配置到Nginx、Apache等服务,登录harbor可以看到以下提示,标记为不信任,属于正常访问现象。
在这里插入图片描述
六、证书到期时间查看

[root@192 ssl]# openssl x509 -in server.crt -noout -dates
notBefore=Oct 18 11:51:17 2023 GMT
notAfter=Oct 17 11:51:17 2024 GMT

附:使用ip方式生成证书
1、生成CA证书私钥:

openssl genrsa -out ca.key 4096

2、生成CA证书

openssl req -x509 -new -nodes -sha512 -days 3650 \
 -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=192.168.100.20" \
 -key ca.key \
 -out ca.crt
 
 #  req  产生证书签发申请命令
 # -x509 签发X.509格式证书命令。X.509是最通用的一种签名证书格式。
 # -new  生成证书请求
 # -key  指定私钥文件
 # -nodes 表示私钥不加密
 # -out   输出
 # -subj 指定用户信息
 # -days 有效期

3、生成harbor服务器证书:

openssl genrsa -out 192.168.100.20.key 4096

4、生成证书签名请求:

openssl req -sha512 -new \
    -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=192.168.100.20" \
    -key 192.168.100.20.key \
    -out 192.168.100.20.csr

5、生成x509 v3扩展文件

cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = IP:192.168.100.20
EOF

6、使用v3.ext 文件为harbor主机生成证书:

openssl x509 -req -sha512 -days 3650 \
    -extfile v3.ext \
    -CA ca.crt -CAkey ca.key -CAcreateserial \
    -in 192.168.100.20.csr \
    -out 192.168.100.20.crt
    
# x509  签发X.509格式证书命令。
# -req   表示证书输入请求。
# -days  表示有效天数
# -extensions 表示按OpenSSL配置文件v3_req项添加扩展。
# -CA   表示CA证书,这里为ca.crt
# -CAkey  表示CA证书密钥,这里为ca.key
# -CAcreateserial 表示创建CA证书序列号
# -extfile  指定文件

7、签发harbor证书:

mkdir  -p   /data/cert/
cp 192.168.100.20.crt /data/cert/
cp 192.168.100.20.key /data/cert/

8、签发docker证书:

openssl x509 -inform PEM -in 192.168.100.20.crt -out 192.168.100.20.cert

9、拷贝证书:

mkdir -p /etc/docker/certs.d/192.168.100.20
cp 172.30.29.20.cert /etc/docker/certs.d/192.168.100.20/
cp 172.30.29.20.key /etc/docker/certs.d/192.168.100.20/
cp ca.crt   /etc/docker/certs.d/192.168.100.20/

10、重启docker:

systemctl restart docker
睡不醒的猪儿
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
harbor仓库部署及配置自建证书
LoveYourelf的博客
06-15 883
docker程序认为"*.crt"文件是CA证书文件,"*.cert"客户端证书文件,于是上面第五步需要转换一下,其实使用cp一下也是可以的,内容并没有变化。1)创建自定义域名的证书存放路径(注意,下面的"harbor.linuxmc.com"改成你自己的自签域名)(4)使用"v3.ext"给harbor主机签发证书。(5)将crt文件转换为cert客户端证书文件。(1)创建证书目录并进入到证书目录。(2)生成harbor主机的证书申请。(3)生成ca的自签名证书。(1)生成harbor主机的私钥。
Harbor Https 私有证书配置注意事项
01-08
官方文档:https://github.com/goharbor/harbor/blob/master/docs/configure_https.md 想要访问远程的 Harbor,就需要配置 HTTPS 访问。配置过程中,Harbor 服务器和 Docker 客户端都需要进行相应的配置才能让两者互通。 首先按照官方文档生成证书证书名称无所谓)。 使用 IP 访问的情况下,所有域名都可以使用该 IP。 将证书放到指定的位置。 按照文档配置完成后, Docker 客户端还需要配置私有证书认证。 参考这里:https://stackoverflow.com/questions/50768317/
harbor https自签名证书生成及配置(helm方式安装harbor
学亮编程手记
03-21 647
【代码】harbor https自签名证书生成及配置(helm方式安装harbor
三、harbor部署之SSL
diqi0762的博客
02-27 177
1 签名证书与自签名证书   签名证书:由权威颁发机构颁发给服务器或者个人用于证明自己身份的东西。   自签名证书:由服务器自己颁发给自己,用于证明自己身份的东西,非权威颁发机构发布。 2 openssl简介   openssl是一个强大的安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。 3 KEY与...
Shell——harbor证书生成(https)
北城半夏
05-02 972
文章目录脚本简介脚本注解修改方式问题记录443端口被占用后登录私有仓库时出错执行方式脚本内容 脚本简介 基于运维统一脚本中,4、实用shell脚本下的1) 实用shell脚本选项harbor证书生成脚本 系统版本Centos7 脚本注解 该脚本为生成harbor的自签证的证书,给harbor使用 把该脚本复制到部署harbor服务器上,修改完成配置后,执行脚本即可 执行脚本结束后,所需的证书存放在脚本所在目录下的ssl harbor使用证书:cd ssl/data/目录下 docker客户端使用
Harbor配置证书访问
Diligent_ten的博客
01-16 4229
一,生成证书 由于Harbor不附带任何证书,它默认使用HTTP来提供注册表请求。但是,强烈建议为任何生产环境启用安全性。Harbour有一个Nginx实例作为所有服务的反向代理,您可以使用准备脚本来配置Nginx来启用https。 1,获得证书 假设您的注册表的主机名是reg.yourdomain.com,并且其DNS记录指向您正在运行Harbor的主机。您首先应该从CA获得证书证书通常包含....
Linux使用openssl制作CA及证书颁发[参考].pdf
10-11
Linux使用 OpenSSL 制作 CA 及证书颁发 Linux使用 OpenSSL 制作 CA 及证书颁发是一个重要的知识点,在软件开发领域中尤其重要。本文将指导读者如何使用 OpenSSLLinux 平台上创建一个简单的证书颁发机构...
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
本文将详细介绍如何使用 OpenSSL 创建和管理CA证书服务器证书和客户端证书,以实现SSL单向认证和双向认证。 首先,我们来看一下如何生成 CA(证书颁发机构)证书。CA证书是信任的根,用于签署其他证书,确保网络...
使用openssl生成单向ssl证书
04-04
本文将详细介绍如何使用openssl工具生成单向SSL证书,以及如何将其应用于基于Boost.Asio库的SSL通讯测试。 首先,让我们了解什么是单向SSL认证。在单向SSL认证中,服务器验证其身份给客户端,但客户端无需向服务器...
使用OpenSSL生成Kubernetes证书的介绍
09-30
总结起来,使用OpenSSL生成Kubernetes证书涉及多个步骤,包括创建私钥、CA证书服务器私钥、CSR以及最终的服务器证书。了解并熟练掌握这一过程对于管理Kubernetes的安全性至关重要。在实际操作中,可能还需要根据...
harbor-https-cfssl生成证书
05-28
harbor-https cfssl 生成证书
Linux使用OpenSSL创建安全的vsFTP.docx
10-29
Linux使用 OpenSSL 创建安全的 vsFTP Linux 下的 vsFTP 服务器软件 vsftpd 支持使用 OpenSSL 对数据进行加密,使得 FTP 帐号更安全。下面是使用 OpenSSL 创建安全的 vsFTP 的步骤: 1. 安装 vsftpd 首先,需要...
安装容器仓库harbor制作CA证书
weixin_46018506的博客
04-26 745
环境: Python版本需要2.7版本或更高版本。 Dockery引擎需要1.10或更高版本。 Docker Compose需要1.6.0或更高版本。 下载的harbor的离线包 官方下载地址 https://github.com/goharbor/harbor/releases 本次下载的是,harbor.v.2.5.0.tar.gz 下载离线包 wget -P /root https://github.com/goharbor/harbor/releases/download/...
Harbor配置自签名证书 —— 筑梦之路
筑梦之路
03-18 4570
环境说明: 192.168.10.100 harbor.codemiracle.com.cn #配置hosts echo "192.168.10.100 harbor.codemiracle.com.cn" >> /etc/hosts #修改harbor.yml文件 #set hostname hostname: harbor.codemiracle.com.cn #http: # port: 80 https: # https port for harbo.
harbor配置私有证书使用docker连接
AAAblues的博客
05-08 697
生成CA证书私钥。 openssl genrsa -out ca.key 4096 生成CA证书。 调整-subj选项中的值以反映您的组织。如果使用FQDN连接Harbor主机,则必须将其指定为通用名称(CN)属性。 openssl req -x509 -new -nodes -sha512 -days 3650 \ -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=yourdomain.com" \ -key ca.key \ -
Harbor镜像仓库部署-证书
Luis9527的博客
11-29 629
Harbor镜像仓库部署 Harbor仓库部署之前需要先安装docker环境,可参考另一篇博客《Docker-从入门到精通》 安装docker-dompose 下载二进制文件 curl -L "https://github.com/docker/compose/releases/download/1.24.1/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose 赋予二进制文件可执行权限 chmod +x /usr
docker harbor 域名_docker安装harbor配置域名和证书
weixin_39868959的博客
12-18 375
代表自己配置的地方1. 系统要求On a Linux host: docker 17.06.0-ce+ and docker-compose 1.18.0+ .docker : 17.06.0-ce以上版本docker-compose :1.18.0+以上版本2. 安装步骤Step 1 :Download the installer; Step 2 : Configure harbor.yml; ...
Harbor2.1.2最新版本+自动生成SSL证+简单扫描
weixin_42562106的博客
11-10 1358
包下载. https://github.com/goharbor/harbor/releases docker-compose工具下载安装 https://github.com/docker/compose/releases/ chmod +x /usr/local/bin/docker-compose 修改yml文件 hostname: 192.168.1.103 #https: # # https port for harbor, default is 443 # port: 443 # #
Harbor安全:cfssl工具为Harbor颁发https证书
因上努力,果上随缘。但行好事,莫问前程。
08-18 586
Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源Docker Distribution。作为一个企业级私有Registry服务器Harbor提供了更好的性能和安全。提升用户使用Registry构建和运行环境传输镜像的效率。Harbor支持安装在多个Registry节点的镜像资源复制,镜像全部保存在私有Registry中, 确保数据和知识产权在公司内部网络中管控。...
openssl 生成harbor证书
最新发布
06-05
OpenSSL是一个开放源代码的软件库包,提供了实现各种安全协议、加密算法和相关工具的功能。Harbor是一个开源的云原生镜像仓库,支持安全扫描、跨集群复制和灵活的用户角色权限管理等功能。在使用Harbor时,需要生成证书来保证安全性。以下是使用OpenSSL生成Harbor证书的步骤: 1. 下载并安装OpenSSL 2. 生成证书签名请求(CSR) ``` openssl req -newkey rsa:4096 -nodes -sha256 -keyout yourdomain.com.key -out yourdomain.com.csr ``` 在执行该命令时,需要将yourdomain.com替换为你的域名。 3. 使用CSR文件请求证书生成的CSR文件发送给证书颁发机构(CA),申请证书。 4. 安装证书 将颁发的证书安装到Harbor服务器上,并按照Harbor官方文档的要求配置Harbor。 注意:颁发的证书需要与生成CSR时使用的私钥匹配。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

睡不醒的猪儿

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值