配置对港口的HTTPS访问

2021-03-14 14:30

阅读:421

标签:pre   config   conf   docker   装包   代理   必须   image   失败   

https://goharbor.io/docs/1.10/install-config/configure-https/

默认情况下,Harbor不提供证书。可以在没有安全性的情况下部署Harbor,这样您就可以通过HTTP连接到它。但是,只有在没有连接到外部internet的空间隙测试或开发环境中才可以使用HTTP。在没有空间隙的环境中使用HTTP会暴露给中间人攻击。在生产环境中,始终使用HTTPS。如果启用带公证人的内容信任对所有images进行正确签名,则必须使用HTTPS。


要配置HTTPS,必须创建SSL证书。您可以使用由受信任的第三方CA签名的证书,也可以使用自签名证书。本节介绍如何使用OpenSSL创建CA,以及如何使用CA签署服务器证书和客户端证书。您可以使用其他CA提供程序,例如:Let’s Encrypt。


下面的过程假设您的Harbor注册表的主机名是yourdomain.com,并且它的DNS记录指向运行Harbor的主机。

1、生成证书颁发机构的证书

在生产环境中,应该从CA获取证书。在测试或开发环境中,可以生成自己的CA。若要生成CA证书,请运行以下命令。

1、生成CA证书私钥。

openssl genrsa -out ca.key 4096

2、生成CA证书。 

调整-subj选项中的值以反映您的组织。如果使用FQDN连接Harbor主机,则必须将其指定为common name(CN)属性。

公用名(Common Name)一般来讲就是填写你将要申请SSL证书的域名 (domain)或子域名(sub domain)。
 
例1:打算为“chinassl.net”申请SSL证 书,那这个公用名(Common Name)就要填写“chinassl.net”,而不能填写 “www.chinassl.net”,因为在申请SSL证书时发证机构认为“www.yourdomain.com”和 “yourdomain.com”是不同的两个域名; 
 
例2:如将要为bill.chinassl.net申请SSL证书,那么这里公用名(Common Name)就 要填写“bill.chinassl.net”而不能填写“chinassl.net”或“www.chinassl.net”

 

openssl req -x509 -new -nodes -sha512 -days 3650  -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=yourdomain.com"  -key ca.key  -out ca.crt

 

3、生成服务器证书

证书通常包含.crt文件和.key文件,例如yourdomain.com.crt和yourdomain.com.key。

1、生成私钥。

openssl genrsa -out yourdomain.com.key 4096

 2、生成证书签名请求(CSR)。

调整-subj选项中的值以反映您的组织。如果使用FQDN连接Harbor主机,则必须将其指定为common name(CN)属性,并在key和CSR文件名中使用它。

openssl req -sha512 -new     -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=yourdomain.com"     -key yourdomain.com.key     -out yourdomain.com.csr

 3、生成x509 v3扩展文件。

无论您是使用FQDN还是使用IP地址连接到您的Harbor主机,都必须创建此文件,以便您可以为Harbor主机生成符合使用者替代名称(SAN)和x509 v3扩展要求的证书。替换DNS条目以反映您的域。

cat > v3.ext 

 4、

使用v3.ext文件为您的港口主机生成证书。

将CRS和CRT文件名中的yourdomain.com替换为Harbor主机名。

openssl x509 -req -sha512 -days 3650     -extfile v3.ext     -CA ca.crt -CAkey ca.key -CAcreateserial     -in yourdomain.com.csr     -out yourdomain.com.crt

 

4、向Harbor和Docker提供证书

生成ca.crt、yourdomain.com.crt和yourdomain.com.key文件后,必须将它们提供给Harbor和Docker,并重新配置Harbor以使用它们。

1、将服务器证书和密钥复制到Harbor主机上的certcificates文件夹中。

cp yourdomain.com.crt /data/cert/
cp yourdomain.com.key /data/cert/

 2、将yourdomain.com.crt转换为yourdomain.com.cert,供Docker使用。

Docker守护进程将.crt文件解释为CA证书,.cert文件解释为客户端证书。

openssl x509 -inform PEM -in yourdomain.com.crt -out yourdomain.com.cert

 3、将服务器证书、密钥和CA文件复制到港口主机上的Docker certificates文件夹中。必须先创建适当的文件夹。

cp yourdomain.com.cert /etc/docker/certs.d/yourdomain.com/
cp yourdomain.com.key /etc/docker/certs.d/yourdomain.com/
cp ca.crt /etc/docker/certs.d/yourdomain.com/

 如果将默认nginx端口443映射到其他端口,请创建文件夹/etc/docker/certs.d/yourdomain.com:port或/etc/docker/certs.d/harbor_IP:port。

4、重新启动Docker引擎。

systemctl restart docker

您可能还需要在操作系统级别信任证书。有关详细信息,请参阅harbor安装疑难解答。


下面的示例演示了使用自定义证书的配置。

/etc/docker/certs.d/
    └── yourdomain.com:port
       ├── yourdomain.com.cert  

 

5、部署或重新配置harbor

 

如果尚未部署Harbor,请参阅配置Harbor YML文件,以获取有关如何通过在Harbor.YML中指定主机名和https属性来配置Harbor以使用证书的信息。


如果您已经使用HTTP部署了Harbor并希望将其重新配置为使用HTTPS,请执行以下步骤。

1、运行prepare脚本以启用HTTPS。

Harbor使用nginx实例作为所有服务的反向代理。使用prepare脚本将nginx配置为使用HTTPS。prepare位于Harbor安装包中,与install.sh脚本处于同一级别。

./prepare

 

2、如果Harbor正在运行,请停止并删除现有实例。

images数据保留在文件系统中,因此不会丢失任何数据。

docker-compose down -v

 

3、Restart Harbor:

docker-compose up -d

 

6、验证HTTPS连接

在为Harbor设置HTTPS之后,您可以通过执行以下步骤来验证HTTPS连接。

 

1、打开浏览器并输入https://yourdomain.com。它应该显示港口界面。

某些浏览器可能会显示一条警告,指出证书颁发机构(CA)未知。使用非来自可信第三方CA的自签名CA时会发生这种情况。您可以将CA导入浏览器以删除警告。

2、在运行Docker守护进程的计算机上,检查/etc/Docker/daemon.json文件,确保没有为https://yourdomain.com设置-unsecure-registry选项。

3、从Docker客户端登录到Harbor。

docker login yourdomain.com

 如果您已经将nginx 443端口映射到另一个端口,请在login命令中添加该端口。

docker login yourdomain.com:port

 

下一步怎么办


如果验证成功,请参阅“港口管理”以获取有关使用“港口”的信息。

如果安装失败,请参阅海港安装疑难解答。

 

配置对港口的HTTPS访问

标签:pre   config   conf   docker   装包   代理   必须   image   失败   

原文地址:https://www.cnblogs.com/linuxws/p/12810887.html


评论


亲,登录后才可以留言!