1. 证书的生成

在测试或开发环境中,您可以选择使用自签名证书,而不是来自受信任的第三方CA的证书。
以下内容将向您展示如何创建自己的CA,并使用您的CA签署服务器证书和客户端证书。

 
1.1 生成ca证书
[root@docker ~]# mkdir /docker

[root@docker ~]# cd /docker/

[root@docker docker]# ll

总用量 0

[root@docker docker]# openssl genrsa -out ca.key 4096

Generating RSA private key, 4096 bit long modulus

................................................................................................................++

......................................................................................................................................................................................................................................................................++

e is 65537 (0x10001)

### 这里CN填写你的https设置的域名,即你harbor配置文件中hostanme填写的内容

[root@docker docker]# openssl req -x509 -new -nodes -sha512 -days 3650 \

 -subj "/CN=192.168.1.109" \

 -key ca.key \

 -out ca.crt

[root@docker docker]# ll

总用量 8

-rw-r--r-- 1 root root 1797 4月  18 11:16 ca.crt

-rw-r--r-- 1 root root 3247 4月  18 11:16 ca.key
 
1.2 获得服务器证书

1)创建自己的私钥:
openssl genrsa -out server.key 4096
2)生成证书签名请求:
openssl req -sha512 -new 
-subj "/CN=192.168.1.109" 
-key server.key 
-out server.csr

[root@docker docker]# ll

总用量 16

-rw-r--r-- 1 root root 1797 4月  18 11:16 ca.crt

-rw-r--r-- 1 root root 3247 4月  18 11:16 ca.key

-rw-r--r-- 1 root root 1590 4月  18 11:22 server.csr

-rw-r--r-- 1 root root 3247 4月  18 11:21 server.key
 
1.3 生成harbor仓库主机的证书
1.3.1 修改v3.ext文件

无论您是使用类似yourdomain.com的 FQDN 还是IP来连接注册表主机,请运行此命令以生成符合主题备用名称(SAN)和x509 v3扩展要求的注册表主机证书:v3.ext

cat > v3.ext <<-EOF

authorityKeyIdentifier=keyid,issuer

basicConstraints=CA:FALSE

keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment

extendedKeyUsage = serverAuth

subjectAltName = @alt_names

[alt_names]

DNS.1=192.168.1.109

EOF
 
1.3.2 生成harbor仓库主机的证书
[root@docker docker]# openssl x509 -req -sha512 -days 3650 \

-extfile v3.ext \

-CA ca.crt -CAkey ca.key -CAcreateserial \

-in server.csr \

-out server.crt

Signature ok

subject=/CN=192.168.1.109

Getting CA Private Key

此时证书创建成功

[root@docker docker]# ll

总用量 28

-rw-r--r-- 1 root root 1797 4月  18 11:16 ca.crt

-rw-r--r-- 1 root root 3247 4月  18 11:16 ca.key

-rw-r--r-- 1 root root 1834 4月  18 11:31 server.crt

-rw-r--r-- 1 root root 1590 4月  18 11:22 server.csr

-rw-r--r-- 1 root root 3247 4月  18 11:21 server.key

-rw-r--r-- 1 root root  233 4月  18 11:30 v3.ext
 
2 配置和安装

1)配置服务器证书和港口密钥
获取server.crt和server.key文件后,您可以将它们拷贝到目录/data/cert/:

2)修改harbor配置文件
编辑文件harbor.cfg,更新主机名和协议,并更新属性ssl_cert和ssl_cert_key:

hostname = yourdomain.com:port

ui_url_protocol = https

ssl_cert = /data/cert/server.crt

ssl_cert_key = /data/cert/server.key

3)重启harbor

为Harbor生成配置文件:

 ./prepare

如果Harbor已在运行,请停止并删除现有实例。您的图像数据保留在文件系统中

  docker-compose down -v

最后,重启harbor:

  docker-compose up -d

4)为客户端配置harbor认证
所有需要push或者pull镜像的机器都需要拷贝证书到docker.

a. 创建存放域名证书的目录

[root@Arcgisdocker ~]# mkdir -p /etc/docker/certs.d/192.168.1.109

b. 移动证书到docker目录下

cp ca.crt  /etc/docker/certs.d/192.168.1.109/ca.crt

c. 测试推送拉取

[root@DockerRegistry harbor]# docker tag busybox:latest 192.168.1.109/software/busybox:002  ##打上仓库地址标签

[root@DockerRegistry harbor]# docker push 192.168.1.109/software/busybox:002                ##推送测试,

The push refers to repository [192.168.1.109/software/busybox]                              ##这里已经推送过了,提示存在

0b97b1c81a32: Layer already exists

002: digest: sha256:f79f7a10302c402c052973e3fa42be0344ae6453245669783a9e16da3d56d5b4 size: 527

[root@DockerRegistry harbor]# docker rmi -f af2f74c517aa                                    ##删除镜像

Untagged: 192.168.1.109/software/busybox:002

Untagged: 192.168.1.109/software/busybox@sha256:f79f7a10302c402c052973e3fa42be0344ae6453245669783a9e16da3d56d5b4

Untagged: busybox:latest

Untagged: busybox@sha256:954e1f01e80ce09d0887ff6ea10b13a812cb01932a0781d6b0cc23f743a874fd

Deleted: sha256:af2f74c517aac1d26793a6ed05ff45b299a037e1a9eefeae5eacda133e70a825

Deleted: sha256:0b97b1c81a3200e9eeb87f17a5d25a50791a16fa08fc41eb94ad15f26516ccea

[root@DockerRegistry harbor]# docker pull 192.168.1.109/software/busybox:002                ###拉取镜像测试

002: Pulling from software/busybox

fc1a6b909f82: Pull complete

Digest: sha256:f79f7a10302c402c052973e3fa42be0344ae6453245669783a9e16da3d56d5b4

Status: Downloaded newer image for 192.168.1.109/software/busybox:002

为Harbor设置HTTPS后,您可以通过以下步骤进行验证:
打开浏览器并输入地址:https://yourdomain.com。它应该显示Harbor的用户界面。
请注意,即使我们通过自签名CA签署证书并将CA部署到上述位置,某些浏览器仍可能出于安全原因显示有关证书颁发机构(CA)未知的警告。这是因为自签名CA本质上不是受信任的第三方CA. 您可以自己将CA导入浏览器以解决警告

实例配置:

将生成的ca.crt文件放置到 centos 7 客户端docker根目录下 , 重启docker 可登录镜像仓库

[root@dev-gray cargo.caicloudprivatetest.com]# pwd

/etc/docker/certs.d/cargo.caicloudprivatetest.com

[root@dev-gray cargo.caicloudprivatetest.com]# ls

ca.crt

[root@dev-gray cargo.caicloudprivatetest.com]# docker login cargo.cai******tetest.com -u admin -p Pw****56

WARNING! Using --password via the CLI is insecure. Use --password-stdin.

WARNING! Your password will be stored unencrypted in /root/.docker/config.json.

Configure a credential helper to remove this warning. See

https://docs.docker.com/engine/reference/commandline/login/#credentials-store

Login Succeeded

 

harbor镜像仓库-https访问配置的更多相关文章

  1. harbor镜像仓库-02-https访问配置

    harbor镜像仓库-02-https访问配置 harbordockerhttps harbor搭建部署参考上一章节 harbor镜像仓库-01-搭建部署 Harbor默认使用http,给harbor ...

  2. harbor镜像仓库-01-搭建部署

    harbor镜像仓库-01-搭建部署 dockerregistryharbor安装部署docker-compose harbor的https配置参考另一章节harbor镜像仓库-02-https访问配 ...

  3. Harbor镜像仓库

    Harbor镜像仓库 作者 刘畅 时间 2020-7-11 微信 目录 1.下载离线安装包 1 2.安装docker 1 3.安装docker-compose 2 4.自签TLS证书 2 4.1.创建 ...

  4. CentOS部署Harbor镜像仓库

    关于Harbor Harbor是用于存储和分发Docker镜像的镜像仓库服务,相比Docker Registry,Harbor在安全.标识.管理等方面做了增强,更适合企业使用: 官方网站:https: ...

  5. 企业级 Harbor 镜像仓库

    Harbor是由VMWare公司开源的容器镜像仓库.事实上,Harbor是在Docker Registry上进行了相应 的企业级扩展,从而获得了更加广泛的应用,这些新的企业级特性包括:管理用户界面,基 ...

  6. docker登录没有配置https的harbor镜像仓库

    已经搭建harbor 仓库 ,域名  172.16.1.99 出现问题: 客户端尝试登录 仓库 [root@localhost docker]# docker login 172.16.1.99:80 ...

  7. 【tomcat】HTTPS访问配置 + restful调用远程HTTPS绕过验证

     单向验证: 第一步: 生成key: keytool -genkey -alias mykey -keyalg RSA -keystore d:/key/testkey keytool -export ...

  8. Docker镜像仓库Harbor搭建及配置

    一.harbor简介 Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全.标识和管理等,扩展了开源Docker Distribut ...

  9. Docker以https访问Harbor私有仓库(二)

    1 说明 前文Centos7搭建Harbor私有仓库(二)中,我们以https方式搭建了Harbor,本篇我们主要配置Docker以https方式访问Harbor私有仓库 2 Docker配置 2.1 ...

随机推荐

  1. appium+python自动化63-使用Uiautomator2报错问题解决

    前言 appium desktop V1.7.1版本使用命令行版本启动appium后,使用Uiautomator2定位toast信息报错:appium-uiautomator2-server-v0.3 ...

  2. Python的私有变量与装饰器@property的用法

    Python的私有变量是在变量前面加上双横杠(例如:__test)来标识, Python私有变量只能在类内部使用,不被外部调用,且当变量被标记为私有后,调用时需再变量的前端插入类名,在类名前添加一个下 ...

  3. php解决大文件断点续传

    核心原理: 该项目核心就是文件分块上传.前后端要高度配合,需要双方约定好一些数据,才能完成大文件分块,我们在项目中要重点解决的以下问题. * 如何分片: * 如何合成一个文件: * 中断了从哪个分片开 ...

  4. 在windbg调试.net时遇到的问题

    调试.net应用程序时,有时会在windbg中收到错误消息.以下是我最常遇到的几个问题. Failed to start stack walk---启动堆栈遍历失败 如果你运行sos命令!clrsta ...

  5. 3D数据采集和重建

    3D数据采集和重建是从传感器数据生成三维或时空模型.一般而言,这些技术和理论适用于大多数或所有传感器类型,包括光学,声学,激光扫描,[1]雷达,热学,[2]地震.[3][4] 内容 ·        ...

  6. python计算1~2008中0和1的个数

    计算1~2008中所有自然数中1和0的个数总数. 通过自然数的大小划分区间,将自然数每位上的数载入列表,循环计数. list = [] onecount = 0 zerocount = 0 for i ...

  7. 不能对以下表使用 TRUNCATE TABLE

    1.由 FOREIGN KEY 约束引用的表.(您可以截断具有引用自身的外键的表.) 2.参与索引视图的表. 3.通过使用事务复制或合并复制发布的表. 4.对于具有以上一个或多个特征的表,请使用 DE ...

  8. React中父子组件传值

    一.首先我们先来看父组件向子组件传值 1.1 我们要明白父组件 --> 子组件 是通过props这个属性来传值的 我们来看父组件的代码 import React from 'react'; im ...

  9. Edusoho之X-Auth-Token

    昨天这篇文章Edusoho之Basic Authentication提到了X-Auth-Token.今天我主要讲的是Edusoho之X-Auth-Token的请求API方式. 至于为什么建议不要用HT ...

  10. 3ds Max学习日记(十二)——用Maxscript将每一帧动画导出成obj

    参考链接: is there a way to through maxscript to make the time slider go to a spacific frame? 最近老师布置了要用m ...