Docker 为你的镜像仓库Harbor部署HTTPS

Docker 为你的镜像仓库Harbor部署HTTPS

Harbor 部署HTTPS

生成SSL证书

配置harbor]# mkdir /ssl[root@reg harbor]# cd /ssl/ #这个脚本主要是下载cfssl这个工具。然后二进制文件放在系统二进制目录下面[root@localhost ssl]# cat cfssl.sh wget +x cfssl*mv cfssl_linux-amd64 /usr/bin/cfsslmv cfssljson_linux-amd64 /usr/bin/cfssljsonmv cfssl-certinfo_linux-amd64 /usr/bin/cfssl-certinfo[root@localhost ssl]# chmod o+x cfssl.sh [root@localhost ssl]# bash cfssl.sh [root@reg ssl]# cfssl 可以看到直接可以使用了，有了这个工具之后就可以基于这个工具生成证书cfssl cfssl-certinfo cfssljson cfssl cfssljson 这两个工具配合的使用 cfssl-certinfo 查看证书的工具

首先创建CA，你花钱购买的证书也是CA。所以自签也需要CA，CA就是证书颁发机构，这个必须得有。先创建CA的两个json文件，cfssl工具就通过json的配置文件来生成证书CA的。

cat > ca-config.json < ca-csr.json <

使用cfssl工具生成初始化CA

[root@localhost ssl]# lsca-config.json ca-csr.json cfssl.sh[root@localhost ssl]# cfssl gencert -initca ca-csr.json | cfssljson -bare ca -2020/11/13 19:56:15 [INFO] generating a new CA key and certificate from CSR2020/11/13 19:56:15 [INFO] generate received request2020/11/13 19:56:15 [INFO] received CSR2020/11/13 19:56:15 [INFO] generating key: rsa-20482020/11/13 19:56:16 [INFO] encoded CSR2020/11/13 19:56:16 [INFO] signed certificate with serial number 475903264239659842602085673089005502135504585581[root@localhost ssl]# lsca-config.json ca.csr ca-csr.json ca-key.pem ca.pem cfssl.shca-key.pem ca.pem这两个是CA相关的证书，通过这个CA来签署服务端证书

先创建服务端证书的请求文件，请求文件里面CN是域名，也就是你现在使用什么域名就写什么域名

cat > reg.harbor.com-csr.json <

使用这个配置文件生成一个域名证书，这个域名要和docker harbor的域名保持一致

[root@localhost ssl]# cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes reg.harbor.com-csr.json | cfssljson -bare reg.harbor.com2020/11/13 20:00:32 [INFO] generate received request2020/11/13 20:00:32 [INFO] received CSR2020/11/13 20:00:32 [INFO] generating key: rsa-20482020/11/13 20:00:33 [INFO] encoded CSR2020/11/13 20:00:33 [INFO] signed certificate with serial number 2597172223413442248852625035832434730427388841382020/11/13 20:00:33 [WARNING] This certificate lacks a "hosts" field. This makes it unsuitable forwebsites. For more information see the Baseline Requirements for the Issuance and Managementof Publicly-Trusted Certificates, v.1.1.6, from the CA/Browser Forum (section 10.2.3 ("Information Requirements").

生成好之后会为reg.harbor.com域名颁发两个证书，一个是私钥 reg.harbor.com-key.pem，另外一个是数字证书reg.harbor.com.pem

[root@localhost ssl]# lsca-config.json ca-csr.json ca.pem reg.harbor.com.csr reg.harbor.com-key.pemca.csr ca-key.pem cfssl.sh reg.harbor.com-csr.json reg.harbor.com.pem

Harbor启用HTTPS

修改harbor的配置文件harbor.yml

[root@reg harbor]# vim harbor.yml port: 443指定刚刚生成证书的路径 certificate: /ssl/reg.harbor.com.pemprivate_key: /ssl/reg.harbor.com-key.pem

重新生成配置文件

[root@reg harbor]# ./prepare 重新生成配置文件，将证书写进去

重建容器证书才会生效，down先帮你停止容器然后再删除容器

现在就实现了通过certificate signed by unknown authority.”错误。下面如何解决自建仓库出现x509错误的方法

[root@localhost ~]# docker login reg.harbor.comUsername: adminPassword: Error response from daemon: Get x509: certificate has expired or is not yet valid

要让docker访问的时候携带数字证书，完成正常的7中，证书存放路径是/etc/docker/certs.d/域名.crt）

192.168.179.99是一台docker主机，即要拉取镜像的主机[root@reg ssl]# scp reg.harbor.com.pem root@192.168.179.99:~

在docker主机上执行

[root@localhost reg.harbor.com]# mkdir /etc/docker/certs.d/reg.harbor.com -p[root@localhost ~]# lsanaconda-ks.cfg reg.harbor.com.pem[root@localhost ~]# cp reg.harbor.com.pem /etc/docker/certs.d/reg.harbor.com/reg.harbor.com.crt[root@localhost ~]# docker login reg.harbor.comUsername: adminPassword: WARNING! Your password will be stored unencrypted in /root/.docker/config.json.Configure a credential helper to remove this warning. SeeSucceeded

脚本实现

cfssl工具脚本

[root@localhost ssl]# cat cfssl.sh wget +x cfssl*mv cfssl_linux-amd64 /usr/bin/cfsslmv cfssljson_linux-amd64 /usr/bin/cfssljsonmv cfssl-certinfo_linux-amd64 /usr/bin/cfssl-certinfo

生成证书脚本

[root@localhost ssl]# cat certs.sh cat > ca-config.json < ca-csr.json < reg.harbor.com-csr.json <

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。