配置对港口的HTTPS访问
2021-03-14 14:30
标签:pre config conf docker 装包 代理 必须 image 失败 https://goharbor.io/docs/1.10/install-config/configure-https/ 默认情况下,Harbor不提供证书。可以在没有安全性的情况下部署Harbor,这样您就可以通过HTTP连接到它。但是,只有在没有连接到外部internet的空间隙测试或开发环境中才可以使用HTTP。在没有空间隙的环境中使用HTTP会暴露给中间人攻击。在生产环境中,始终使用HTTPS。如果启用带公证人的内容信任对所有images进行正确签名,则必须使用HTTPS。 在生产环境中,应该从CA获取证书。在测试或开发环境中,可以生成自己的CA。若要生成CA证书,请运行以下命令。 1、生成CA证书私钥。 调整-subj选项中的值以反映您的组织。如果使用FQDN连接Harbor主机,则必须将其指定为common name(CN)属性。 证书通常包含.crt文件和.key文件,例如yourdomain.com.crt和yourdomain.com.key。 1、生成私钥。 2、生成证书签名请求(CSR)。 调整-subj选项中的值以反映您的组织。如果使用FQDN连接Harbor主机,则必须将其指定为common name(CN)属性,并在key和CSR文件名中使用它。 3、生成x509 v3扩展文件。 无论您是使用FQDN还是使用IP地址连接到您的Harbor主机,都必须创建此文件,以便您可以为Harbor主机生成符合使用者替代名称(SAN)和x509 v3扩展要求的证书。替换DNS条目以反映您的域。 4、 使用v3.ext文件为您的港口主机生成证书。 将CRS和CRT文件名中的yourdomain.com替换为Harbor主机名。 生成ca.crt、yourdomain.com.crt和yourdomain.com.key文件后,必须将它们提供给Harbor和Docker,并重新配置Harbor以使用它们。 1、将服务器证书和密钥复制到Harbor主机上的certcificates文件夹中。 2、将yourdomain.com.crt转换为yourdomain.com.cert,供Docker使用。 Docker守护进程将.crt文件解释为CA证书,.cert文件解释为客户端证书。 3、将服务器证书、密钥和CA文件复制到港口主机上的Docker certificates文件夹中。必须先创建适当的文件夹。 如果将默认nginx端口443映射到其他端口,请创建文件夹/etc/docker/certs.d/yourdomain.com:port或/etc/docker/certs.d/harbor_IP:port。 4、重新启动Docker引擎。 您可能还需要在操作系统级别信任证书。有关详细信息,请参阅harbor安装疑难解答。 如果尚未部署Harbor,请参阅配置Harbor YML文件,以获取有关如何通过在Harbor.YML中指定主机名和https属性来配置Harbor以使用证书的信息。 1、运行prepare脚本以启用HTTPS。 Harbor使用nginx实例作为所有服务的反向代理。使用prepare脚本将nginx配置为使用HTTPS。prepare位于Harbor安装包中,与install.sh脚本处于同一级别。 2、如果Harbor正在运行,请停止并删除现有实例。 images数据保留在文件系统中,因此不会丢失任何数据。 3、Restart Harbor: 在为Harbor设置HTTPS之后,您可以通过执行以下步骤来验证HTTPS连接。 1、打开浏览器并输入https://yourdomain.com。它应该显示港口界面。 某些浏览器可能会显示一条警告,指出证书颁发机构(CA)未知。使用非来自可信第三方CA的自签名CA时会发生这种情况。您可以将CA导入浏览器以删除警告。 2、在运行Docker守护进程的计算机上,检查/etc/Docker/daemon.json文件,确保没有为https://yourdomain.com设置-unsecure-registry选项。 3、从Docker客户端登录到Harbor。 如果您已经将nginx 443端口映射到另一个端口,请在login命令中添加该端口。 如果安装失败,请参阅海港安装疑难解答。 配置对港口的HTTPS访问 标签:pre config conf docker 装包 代理 必须 image 失败 原文地址:https://www.cnblogs.com/linuxws/p/12810887.html
要配置HTTPS,必须创建SSL证书。您可以使用由受信任的第三方CA签名的证书,也可以使用自签名证书。本节介绍如何使用OpenSSL创建CA,以及如何使用CA签署服务器证书和客户端证书。您可以使用其他CA提供程序,例如:Let’s Encrypt。
下面的过程假设您的Harbor注册表的主机名是yourdomain.com,并且它的DNS记录指向运行Harbor的主机。1、生成证书颁发机构的证书
openssl genrsa -out ca.key 4096
2、生成CA证书。
公用名(Common Name)一般来讲就是填写你将要申请SSL证书的域名 (domain)或子域名(sub domain)。
例1:打算为“chinassl.net”申请SSL证 书,那这个公用名(Common Name)就要填写“chinassl.net”,而不能填写 “www.chinassl.net”,因为在申请SSL证书时发证机构认为“www.yourdomain.com”和 “yourdomain.com”是不同的两个域名;
例2:如将要为bill.chinassl.net申请SSL证书,那么这里公用名(Common Name)就 要填写“bill.chinassl.net”而不能填写“chinassl.net”或“www.chinassl.net”
openssl req -x509 -new -nodes -sha512 -days 3650 -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=yourdomain.com" -key ca.key -out ca.crt
3、生成服务器证书
openssl genrsa -out yourdomain.com.key 4096
openssl req -sha512 -new -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=yourdomain.com" -key yourdomain.com.key -out yourdomain.com.csr
cat > v3.ext
openssl x509 -req -sha512 -days 3650 -extfile v3.ext -CA ca.crt -CAkey ca.key -CAcreateserial -in yourdomain.com.csr -out yourdomain.com.crt
4、向Harbor和Docker提供证书
cp yourdomain.com.crt /data/cert/
cp yourdomain.com.key /data/cert/
openssl x509 -inform PEM -in yourdomain.com.crt -out yourdomain.com.cert
cp yourdomain.com.cert /etc/docker/certs.d/yourdomain.com/
cp yourdomain.com.key /etc/docker/certs.d/yourdomain.com/
cp ca.crt /etc/docker/certs.d/yourdomain.com/
systemctl restart docker
下面的示例演示了使用自定义证书的配置。/etc/docker/certs.d/
└── yourdomain.com:port
├── yourdomain.com.cert
5、部署或重新配置harbor
如果您已经使用HTTP部署了Harbor并希望将其重新配置为使用HTTPS,请执行以下步骤。./prepare
docker-compose down -v
docker-compose up -d
6、验证HTTPS连接
docker login yourdomain.com
docker login yourdomain.com:port
下一步怎么办
如果验证成功,请参阅“港口管理”以获取有关使用“港口”的信息。