Linux机器配置信任Harbor自签名ssl证书

已于 2023-08-29 11:54:12 修改
阅读量6.5w 收藏 5
点赞数
文章标签: linux ssl kubernetes 云原生 运维
于 2023-08-29 11:53:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46660849/article/details/132550969
版权

Linux机器配置信任Harbor自签名ssl证书

Harbor 是一个流行的开源容器镜像仓库,它支持容器镜像的存储、签名、扫描和复制功能。为了确保与 Harbor 的通信是安全的,通常会为其配置 SSL/TLS。然而,为了避免购买证书或简化部署过程,很多人在部署 Harbor 时选择使用自签名证书。

配置 Linux 机器以信任 Harbor 的自签名 SSL 证书有以下好处:

  1. 安全通信:SSL/TLS 证书确保与 Harbor 服务器之间的通信是加密的,从而避免了潜在的窃听和中间人攻击。
  2. 无错误和警告:如果你的工具(如 Docker、containerd 或其他与 Harbor 交互的工具)不信任该证书,你通常会看到错误或警告消息,表明证书是不受信任的。配置机器以信任自签名证书后,这些消息将不再出现。
  3. 节省成本:虽然受信任的证书颁发机构(如 Let’s Encrypt)提供免费的证书,但在某些内部网络或私有云环境中,与外部服务通信可能是一个挑战。在这种情况下,自签名证书提供了一种简便的方法来加密通信,而不需要与外部实体交互。

接下来我会给安装好的Harbor仓库设置ssl自签名证书,并在安装docker的机器和以containerd作为CRI的k8s集群中设置自签名证书的信任,从而确保拉取Harbor仓库的镜像时不报"x509"相关的错误。

1. Harbor集群设置自签名ssl证书

如果不了解如何安装Harbor仓库,请参考:Kubernetes安装Harbor仓库

通过上述方式安装的Harbor仓库Nginx Ingress映射出来的域名为"harbor.example.com",接下来需要为这个域名签发自签名ssl证书,相关签发方式请参考:Configure HTTPS Access to Harbor

我的签发命令为:

# Generate a Certificate Authority Certificate
openssl genrsa -out ca.key 4096

openssl req -x509 -new -nodes -sha512 -days 3650 \
 -subj "/C=CN/ST=GuangDong/L=GuangZhou/O=Yiqi/OU=Personal/CN=harbor.example.com" \
 -key ca.key \
 -out ca.crt
 
# Generate a Server Certificate
openssl genrsa -out domain.key 4096

openssl req -sha512 -new \
 -subj "/C=CN/ST=GuangDong/L=GuangZhou/O=Yiqi/OU=Personal/CN=harbor.example.com" \
 -key domain.key \
 -out domain.csr

cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names

[alt_names]
DNS.1=harbor.example.com
DNS.2=harbor.example
DNS.3=yiqi.centos.com
EOF

openssl x509 -req -sha512 -days 3650 \
 -extfile v3.ext \
 -CA ca.crt -CAkey ca.key -CAcreateserial \
 -in domain.csr \
 -out domain.crt

接下来需要将ssl证书配置到ingress中

# 生成tls类型的secret
kubectl create secret -n har generic myharbor-ingress --from-file=ca.crt=ca.crt --from-file=tls.crt=domain.crt --from-file=tls.key=domain.key

# 查看Harbor ingress配置
kubectl get ing -n har
NAME                    CLASS   HOSTS                ADDRESS        PORTS     AGE
harbor-ingress          nginx   harbor.example.com   172.16.80.22   80, 443   91d
harbor-ingress-notary   nginx   notary.example.com   172.16.80.22   80, 443   91d

# 修改ingress tls使用的secret,在spec.tls.hosts栏位下
  tls:
  - hosts:
    - harbor.example.com
    secretName: myharbor-ingress # 修改为之前生成的tls类型的secret

完成后可以通过Chrome浏览器登录查看证书,可以看到虽然Chrome浏览器依然会提示证书不安全,由于不是通过授信的ca机构签发的证书。但是我们自签名证书的信息已经能看到了。到这里就代表"Harbor集群设置自签名ssl证书"已经成功。
在这里插入图片描述

2. 为Linux机器设置证书授信

不同的 Linux 发行版中信任自签名证书的方法可能会有所不同。以下是一些常见 Linux 发行版的指导:

  1. Debian/Ubuntu:

    • 将你的证书复制到 /usr/local/share/ca-certificates/:
      sudo cp your-cert.crt /usr/local/share/ca-certificates/
    • 更新证书列表:
      sudo update-ca-certificates

  2. RHEL/Fedora/CentOS:

    • 将你的证书复制到 /etc/pki/ca-trust/source/anchors/:
      sudo cp your-cert.crt /etc/pki/ca-trust/source/anchors/
    • 更新证书列表:
      sudo update-ca-trust

  3. openSUSE/SUSE:

    • 将你的证书复制到 /etc/pki/trust/anchors/:
      sudo cp your-cert.crt /etc/pki/trust/anchors/
    • 更新证书列表:
      sudo update-ca-certificates

  4. Alpine Linux:

    • 将你的证书复制到 /etc/ssl/certs/:
      sudo cp your-cert.crt /etc/ssl/certs/
    • 更新证书列表:
      sudo update-ca-certificates
2.1 Docker所在机器添加证书信任

使用如下命令尝试pull Harbor仓库中公开的镜像,可以看到由于仓库不授信无法拉取镜像。

docker pull harbor.example.com/library/nginx@sha256:01ccf4035840dd6c25042b2b5f6b09dd265b4ed5aa7b93ccc4714027c0ce5685
Error response from daemon: Get "https://harbor.example.com/v2/": tls: failed to verify certificate: x509: certificate signed by unknown authority

添加ca证书的信任

# 将之前生成的ca.crt证书拷贝到当前机器
sudo cp ca.crt /etc/pki/ca-trust/source/anchors/

sudo update-ca-trust

sudo systemctl restart docker

# 再尝试拉取镜像
docker pull harbor.example.com/library/nginx@sha256:01ccf4035840dd6c25042b2b5f6b09dd265b4ed5aa7b93ccc4714027c0ce5685
harbor.example.com/library/nginx@sha256:01ccf4035840dd6c25042b2b5f6b09dd265b4ed5aa7b93ccc4714027c0ce5685: Pulling from library/nginx
f56be85fc22e: Pull complete
2ce963c369bc: Pull complete
59b9d2200e63: Pull complete
3e1e579c95fe: Pull complete
547a97583f72: Pull complete
1f21f983520d: Pull complete
c23b4f8cf279: Pull complete
Digest: sha256:01ccf4035840dd6c25042b2b5f6b09dd265b4ed5aa7b93ccc4714027c0ce5685
Status: Downloaded newer image for harbor.example.com/library/nginx@sha256:01ccf4035840dd6c25042b2b5f6b09dd265b4ed5aa7b93ccc4714027c0ce5685
harbor.example.com/library/nginx@sha256:01ccf4035840dd6c25042b2b5f6b09dd265b4ed5aa7b93ccc4714027c0ce5685
2.1 containerd所在的K8S几区节点添加证书信任

我之前的文章有介绍过如何为containerd设置非授信仓库如果感兴趣请查看:containerd 设置非授信仓库
使用如下命令尝试pull Harbor仓库中公开的镜像,可以看到由于仓库不授信无法拉取镜像。

crictl pull harbor.example.com/library/nginx@sha256:01ccf4035840dd6c25042b2b5f6b09dd265b4ed5aa7b93ccc4714027c0ce5685
E0828 20:41:53.947090   21601 remote_image.go:238] "PullImage from image service failed" err="rpc error: code = Unknown desc = failed to pull and unpack image \"harbor.example.com/library/nginx@sha256:01ccf4035840dd6c25042b2b5f6b09dd265b4ed5aa7b93ccc4714027c0ce5685\": failed to resolve reference \"harbor.example.com/library/nginx@sha256:01ccf4035840dd6c25042b2b5f6b09dd265b4ed5aa7b93ccc4714027c0ce5685\": failed to do request: Head \"https://harbor.example.com/v2/library/nginx/manifests/sha256:01ccf4035840dd6c25042b2b5f6b09dd265b4ed5aa7b93ccc4714027c0ce5685\": x509: certificate signed by unknown authority" image="harbor.example.com/library/nginx@sha256:01ccf4035840dd6c25042b2b5f6b09dd265b4ed5aa7b93ccc4714027c0ce5685"
FATA[0000] pulling image: rpc error: code = Unknown desc = failed to pull and unpack image "harbor.example.com/library/nginx@sha256:01ccf4035840dd6c25042b2b5f6b09dd265b4ed5aa7b93ccc4714027c0ce5685": failed to resolve reference "harbor.example.com/library/nginx@sha256:01ccf4035840dd6c25042b2b5f6b09dd265b4ed5aa7b93ccc4714027c0ce5685": failed to do request: Head "https://harbor.example.com/v2/library/nginx/manifests/sha256:01ccf4035840dd6c25042b2b5f6b09dd265b4ed5aa7b93ccc4714027c0ce5685": x509: certificate signed by unknown authority 

# 将之前生成的ca.crt证书拷贝到当前机器
sudo cp ca.crt /etc/pki/ca-trust/source/anchors/

sudo update-ca-trust

sudo systemctl restart containerd

# 再尝试拉取镜像
crictl pull harbor.example.com/library/nginx@sha256:01ccf4035840dd6c25042b2b5f6b09dd265b4ed5aa7b93ccc4714027c0ce5685
Image is up to date for sha256:8e75cbc5b25c8438fcfe2e7c12c98409d5f161cbb668d6c444e02796691ada70
大風起雲飛揚
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
安装和配置Harbor镜像仓库
05-13
主要介绍关于harbor的基本简介和harbor的安装,安装前的证书的相关生成和签发等的相关操作步骤
linux添加ssl信任证书,linux系统添加根证书 linux证书信任列表
weixin_30054007的博客
05-03 1177
1.linux 访问 https 证书问题[root@boss-test-dev001-jydx~]#curl-vhttps://mobile.mycard520.com.tw*Abouttoconnect()tomobile.mycard520.com.twport443(#0)*Trying220.130.127.122...connected*Connec...
linux系统添加根证书
weixin_49319422的博客
03-02 6293
1.报错如下 将证书添加到信任列表 下载证书,需要在对应网址获取证书 在liunx中将根证书和二级证书需要添加到 linux 证书信任列表 #转换格式 .cer 到 .pem openssl x509 -inform der -in twca.cer -out twca.pem openssl x509 -inform der -in twca-2.cer -out twca-2.pem #追加到信任列表 cat twca.pem >> /etc/pki/tls/certs/ca-
其他机器上访问harbor机器,报错tls: failed to verify certificate: x509: cannot validate certificate for
最新发布
qq_42863978的博客
05-06 881
docker-harbor
Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书
树下一少年的博客
01-07 8435
本文基于Linux上CentOS 7版本配合openssl与mod_ssl(需要使用yum下载)进行配置演 在Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书 一.生成认证主要流程 1.虚拟出一个CA认证机构,生成公私钥以及自签证书 2.生成服务器方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书 3.生成客户端方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书 4.生成证书 二.具体过程 1.虚拟CA机构方生成内容 2.服务器方生成 3.客户端方生成
linux nginx自签发证书及配置ssl操作方法
m0_49346778的博客
06-20 862
1:生成RSA密钥(过程需要设置一个密码,记住这个密码)openssl genrsa -des3 -out domain.key 1024 (目前密码设置为test)2:拷贝一个不需要输入密码的密钥文件3:生成一个证书请求这里会提示输入国家,地区组织,email等信息.最重要的一个是"common name",需要与网站域名相同.Enter pass phrase for domain.key: # 之前设置的密码-----
Ubuntu(linux)添加系统证书信任
thlzjfefe的博客
07-04 8313
关于浏览器使用https访问网站 大家有时候在使用https://访问网站时 经常遇到证书信任问题 经过网上查找资料找到了 使用linux系统 Ubuntu亲测可以使用 添加证书的方式 方式 如下 Ubuntu下添加系统根证书, 只要将证书(扩展名为crt)复制到**/usr/local/share/ca-certificates**文件夹然后运行update-ca-certificates即可。 添加证书: $sudo cp 证书路径.crt /usr/local/share/ca-ce...
linux 下生成ssl自签证书, 并配置nginx通过https访问
wgq2020的博客
10-19 1309
将“yourdomain.com”替换为你要使用的域名,“/path/to/yourdomain.crt”和“/path/to/yourdomain.key”分别替换为你的 SSL 证书和私钥文件的路径。请确保在浏览器中使用 https://yourdomain.com 访问你的网站,以验证 SSL 证书是否正常工作。在 Linux 系统中,可以使用 OpenSSL 工具来创建自签名 SSL 证书,并使用 Nginx 服务器配置 HTTPS 访问。生成私钥后,需要为 SSL 证书创建签名请求(CSR)。
harbor-https-cfssl生成证书
05-28
另外,尽管这里我们使用了自签名证书,但你也可以将你的CA证书提交给公开的证书颁发机构(CA),使你的证书被广泛信任。 总的来说,使用cfsslHarbor配置HTTPS不仅提供了安全性,还简化了证书管理过程。通过熟悉...
Harbor Https 私有证书配置注意事项
01-08
配置过程中,Harbor 服务器和 Docker 客户端都需要进行相应的配置才能让两者互通。 首先按照官方文档生成证书证书名称无所谓)。 使用 IP 访问的情况下,所有域名都可以使用该 IP。 将证书放到指定的位置。 按照...
CentOS7.5安装配置Harbor1.7的全过程
09-14
主要介绍了CentOS7.5安装配置Harbor1.7的全过程,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
linux环境下docker安装、docker-compose安装、 harbor安装合集.txt
05-30
linux环境下docker安装、docker-compose安装、 harbor安装合集.txt
关于linux openssl的自签证书认证与nginx配置
csdndd521的博客
09-01 938
重点注意这块,不能写一样的,要是一样的话登录界面锁会报不安全。域名这块跟最后发布的一致。
harbor的https访问方式及自定义证书
haha_yyds的博客
06-27 2141
k8s拉取镜像需要https访问harbor,需要自定义证书
容器仓库Harbor安装,给Harbor加入自签名证书
u011830181的博客
02-21 3002
安装Harbor,使用Docker进行上传下载,证书验证
linux服务器下解决SSL证书不受信的问题,这一篇就够了
小小鸟的博客
12-11 7389
linux服务器下解决SSL证书不受信的问题linux服务器下解决SSL证书不受信的问题安装SSL证书安装到jdk证书库第二种代码层面忽略证书信任问题。 你好! 这是你的第一篇博文,以后就在这里和大家交流和学习喽。 linux服务器下解决SSL证书不受信的问题 java应用程序下访问第三方服务,调用https服务时,本地不报错,服务器报javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX pa
Liunx环境下生成自签名免费(SSL)私有证书
热门推荐
huanglm_OneWholeLife的博客
03-10 2万+
1.https配置 2.自签名ssl证书 3.生成CRT证书
设置Linux信任列表
wutongguo的博客
01-27 1301
图文并茂设置linux信任列表。
如何自动为harbor申请ssl证书
05-30
要为 Harbor 自动申请 SSL 证书,可以使用 cert-manager 工具。cert-manager 是一个 Kubernetes 上的证书管理工具,可以自动为您的应用程序生成和更新 SSL 证书。 以下是为 Harbor 自动申请 SSL 证书的步骤: 1. 安装 cert-manager 工具。可以使用以下命令安装: ``` kubectl apply --validate=false -f https://github.com/jetstack/cert-manager/releases/download/v1.0.4/cert-manager.yaml ``` 2. 创建一个 Issuer。Issuer 是一个 Kubernetes 资源,用于定义证书颁发机构 (CA) 的详细信息。可以使用以下 YAML 文件创建 Issuer: ```yaml apiVersion: cert-manager.io/v1 kind: Issuer metadata: name: letsencrypt namespace: cert-manager spec: acme: email: your-email@example.com server: https://acme-v02.api.letsencrypt.org/directory privateKeySecretRef: name: letsencrypt solvers: - http01: ingress: class: nginx ``` 在此 YAML 文件中,您需要将 `your-email@example.com` 替换为您的电子邮件地址。该文件使用 Let's Encrypt 作为证书颁发机构,因此您需要使用 Let's Encrypt 帐户来签署证书申请。此文件还配置了 HTTP-01 验证器,以便 cert-manager 可以验证您拥有该域名。 3. 创建一个 Certificate。Certificate 是一个 Kubernetes 资源,用于定义 SSL 证书的详细信息。可以使用以下 YAML 文件创建 Certificate: ```yaml apiVersion: cert-manager.io/v1 kind: Certificate metadata: name: harbor-cert namespace: harbor spec: secretName: harbor-tls dnsNames: - your-domain.com issuerRef: name: letsencrypt kind: Issuer ``` 在此 YAML 文件中,您需要将 `your-domain.com` 替换为您要为其颁发证书的域名。此文件还指定了要使用的 Issuer。 4. 创建一个 Ingress。Ingress 是一个 Kubernetes 资源,用于将 HTTP(S) 流量路由到您的应用程序。可以使用以下 YAML 文件创建 Ingress: ```yaml apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: harbor-ingress namespace: harbor annotations: kubernetes.io/ingress.class: nginx cert-manager.io/issuer: "letsencrypt" spec: tls: - secretName: harbor-tls hosts: - your-domain.com rules: - host: your-domain.com http: paths: - path: / pathType: Prefix backend: service: name: harbor port: name: http ``` 在此 YAML 文件中,您需要将 `your-domain.com` 替换为您的域名。此文件还使用了之前创建的 Issuer 和 Certificate。 5. 部署 Harbor。可以使用 Helm 安装 Harbor,如以下命令所示: ``` helm install harbor harbor/harbor --version=1.5.2 -f harbor-values.yaml ``` 在此命令中,`harbor-values.yaml` 是一个 YAML 文件,用于配置 Harbor 的各种选项。 这样,您就可以使用 cert-manager 工具自动申请和更新 HarborSSL 证书了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值