Harbor自建证书实现Https访问

最新推荐文章于 2025-04-02 17:02:45 发布
最新推荐文章于 2025-04-02 17:02:45 发布
阅读量1.3k 收藏 13
点赞数 17
文章标签: https 网络协议 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Governing/article/details/146543194
版权

一、环境准备

主机名:harbor250.lyx.com   IP:10.0.0.250

二、 准备Harbor安装包

root@harbor250:~# wget https://github.com/goharbor/harbor/releases/download/v2.12.2/harbor-offline-installer-v2.12.2.tgz

三、 安装docker,docker-compose并解压harbor安装包

 root@harbor250:~# tar xf oldboyedu-autoinstall-docker-docker-compose.tar.gz
root@harbor250:~# ./install-docker.sh i

root@harbor250:~# tar xf harbor-offline-installer-v2.12.2.tgz -C /usr/local/

四、 配置CA证书

1、进入到harbor程序根目录

 root@harbor250:/usr/local/harbor# ll
total 636508
drwxr-xr-x  2 root root      4096 Mar 25 10:30 ./
drwxr-xr-x 11 root root      4096 Mar 25 10:30 ../
-rw-r--r--  1 root root      3646 Jan 16 22:10 common.sh
-rw-r--r--  1 root root 651727378 Jan 16 22:11 harbor.v2.12.2.tar.gz
-rw-r--r--  1 root root     14288 Jan 16 22:10 harbor.yml.tmpl
-rwxr-xr-x  1 root root      1975 Jan 16 22:10 install.sh*
-rw-r--r--  1 root root     11347 Jan 16 22:10 LICENSE
-rwxr-xr-x  1 root root      2211 Jan 16 22:10 prepare*

 2、创建存放证书的目录

 root@harbor250:/usr/local/harbor# mkdir -pv certs/{ca,harbor-server,docker-client}
mkdir: created directory 'certs'
mkdir: created directory 'certs/ca'
mkdir: created directory 'certs/harbor-server'
mkdir: created directory 'certs/docker-client'
root@harbor250:/usr/local/harbor# tree certs
certs
├── ca
├── docker-client
└── harbor-server

3 directories, 0 files

3、 创建CA的私钥

 root@harbor250:/usr/local/harbor# cd certs/
root@harbor250:/usr/local/harbor/certs# openssl genrsa -out ca/ca.key 4096
root@harbor250:/usr/local/harbor/certs# tree
.
├── ca
│   └── ca.key
├── docker-client
└── harbor-server

3 directories, 1 file

4、 基于自建的CA私钥创建CA证书(注意,证书签发的域名范围)

 root@harbor250:/usr/local/harbor/certs# openssl req -x509 -new -nodes -sha512 -days 3650 \
 -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=oldboyedu.com" \
 -key ca/ca.key \
 -out ca/ca.crt
 
 root@harbor250:/usr/local/harbor/certs# tree
 .
├── ca
│   ├── ca.crt
│   └── ca.key
├── docker-client
└── harbor-server

3 directories, 2 files

5、查看自建证书信息

 root@harbor250:/usr/local/harbor/certs# openssl  x509 -in ca/ca.crt -noout -text

五、 配置harbor服务端证书

 1、生成harbor服务器私钥

 root@harbor250:/usr/local/harbor/certs# openssl genrsa -out harbor-server/harbor250.oldboyedu.com.key 4096

root@harbor250:/usr/local/harbor/certs# tree
.
├── ca
│   ├── ca.crt
│   └── ca.key
├── docker-client
└── harbor-server
    └── harbor250.oldboyedu.com.key

3 directories, 3 files

2、 harbor服务器基于私钥签发证书认证请求(csr文件)让自建CA认证

 root@harbor250:/usr/local/harbor/certs# openssl req -sha512 -new \
    -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=harbor250.oldboyedu.com" \
    -key harbor-server/harbor250.oldboyedu.com.key \
    -out harbor-server/harbor250.oldboyedu.com.csr
    
root@harbor250:/usr/local/harbor/certs# tree
.
├── ca
│   ├── ca.crt
│   └── ca.key
├── docker-client
└── harbor-server
    ├── harbor250.oldboyedu.com.csr
    └── harbor250.oldboyedu.com.key

3 directories, 4 files

3、 生成x509 v3 的扩展文件用于认证

 root@harbor250:/usr/local/harbor/certs# cat > harbor-server/v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names

[alt_names]
DNS.1=harbor250.oldboyedu.com
EOF

root@harbor250:/usr/local/harbor/certs# tree
.
├── ca
│   ├── ca.crt
│   └── ca.key
├── docker-client
└── harbor-server
    ├── harbor250.oldboyedu.com.csr
    ├── harbor250.oldboyedu.com.key
    └── v3.ext

3 directories, 5 files

 4、基于 x509 v3 的扩展文件认证签发harbor server证书

 root@harbor250:/usr/local/harbor/certs# openssl x509 -req -sha512 -days 3650 \
    -extfile harbor-server/v3.ext \
    -CA ca/ca.crt -CAkey ca/ca.key -CAcreateserial \
    -in harbor-server/harbor250.oldboyedu.com.csr \
    -out harbor-server/harbor250.oldboyedu.com.crt
    
root@harbor250:/usr/local/harbor/certs# tree
.
├── ca
│   ├── ca.crt
│   └── ca.key
├── docker-client
└── harbor-server
    ├── harbor250.oldboyedu.com.crt
    ├── harbor250.oldboyedu.com.csr
    ├── harbor250.oldboyedu.com.key
    └── v3.ext

3 directories, 6 files

 5、修改harbor的配置文件使用自建证书

root@harbor250:/usr/local/harbor/certs# cp ../harbor.yml{.tmpl,}
root@harbor250:/usr/local/harbor/certs# vim ../harbor.yml
...
hostname: harbor250.oldboyedu.com
https:
  ...
  certificate: /usr/local/harbor/certs/harbor-server/harbor250.oldboyedu.com.crt
  private_key: /usr/local/harbor/certs/harbor-server/harbor250.oldboyedu.com.key
...
harbor_admin_password: 1
...
data_volume: /var/lib/harbor
... 

 6、安装harbor服务

 root@harbor250:/usr/local/harbor/certs# ../install.sh

 六、访问harbor的webUI

 #在windows上做hosts解析
10.0.0.250 harbor250.oldboyedu.com
#访问测试
https://harbor250.oldboyedu.com/harbor/projects/1/repositories

七、 配置docker客户端证书

1、生成docker客户端证书

 

root@harbor250:/usr/local/harbor/certs# cp ca/ca.crt harbor-server/harbor250.oldboyedu.com.key docker-client/
root@harbor250:/usr/local/harbor/certs# cp harbor-server/harbor250.oldboyedu.com.crt docker-client/harbor250.oldboyedu.com.cert

root@harbor250:/usr/local/harbor/certs# tree
.
├── ca
│   ├── ca.crt
│   └── ca.key
├── docker-client
│   ├── ca.crt
│   ├── harbor250.oldboyedu.com.cert
│   └── harbor250.oldboyedu.com.key
└── harbor-server
    ├── harbor250.oldboyedu.com.crt
    ├── harbor250.oldboyedu.com.csr
    ├── harbor250.oldboyedu.com.key
    └── v3.ext

3 directories, 9 files

 2、docker客户端创建自建证书的目录结构(注意域名的名称和目录要一致~)

 root@elk91:~# mkdir -pv /etc/docker/certs.d/harbor250.oldboyedu.com/

3、 拷贝docker client证书文件到客户端

root@elk91:~# echo 10.0.0.250 harbor250.oldboyedu.com >> /etc/hosts
root@elk91:~# scp harbor250.oldboyedu.com:/usr/local/harbor/certs/docker-client/* /etc/docker/certs.d/harbor250.oldboyedu.com/
root@elk91:~# ll /etc/docker/certs.d/harbor250.oldboyedu.com/
total 20
drwxr-xr-x 2 root root 4096 Mar 25 12:10 ./
drwxr-xr-x 3 root root 4096 Mar 25 12:01 ../
-rw-r--r-- 1 root root 2049 Mar 25 12:10 ca.crt
-rw-r--r-- 1 root root 2155 Mar 25 12:10 harbor250.oldboyedu.com.cert
-rw------- 1 root root 3272 Mar 25 12:10 harbor250.oldboyedu.com.key

4、 客户端登录测试

 root@elk91:~# docker login -u admin -p 1 harbor250.oldboyedu.com
WARNING! Using --password via the CLI is insecure. Use --password-stdin.
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store

Login Succeeded

harbor-https-cfssl生成证书
05-28
通过访问`https://your-harbor-url`来测试HTTPS是否成功配置。如果一切正常,浏览器应显示安全锁图标,表明连接已加密。 除了手动操作,你还可以编写脚本自动化整个流程,尤其是当你需要为多个Harbor实例或多个...
Harbor Https 私有证书配置注意事项
01-08
想要访问远程的 Harbor,就需要配置 HTTPS 访问。配置过程中,Harbor 服务器和 Docker 客户端都需要进行相应的配置才能让两者互通。 首先按照官方文档生成证书证书名称无所谓)。 使用 IP 访问的情况下,所有域名...
k8s上部署harbor并暴露访问
03-14
使用cfssl工具配置证书并在kubernetes上部署harbor并暴露访问
基于openstack的Harbor的设计与实现.docx
02-21
基于openstack的Harbor的设计与实现,毕业设计,安装运行环境系统要求为CentOS7.5,内核版本不低于3.10。Docker版本为docker-ce-19.03.13。Kubernetes版本为1.18.1。主要研究harbor平台搭建的过程,并在研究的过程中...
安装和配置Harbor镜像仓库
05-13
主要介绍关于harbor的基本简介和harbor的安装,安装前的证书的相关生成和签发等的相关操作步骤
解决 Git 通过 SSH 克隆仓库时自动转换为 HTTPS 的问题
weixin_42279822的博客
04-02 410
这通常是因为 Git 配置错误或 URL 格式不正确导致协议自动转换。本文将详细分析原因并提供解决方案。通过以上步骤,可以解决 Git 通过 SSH 克隆仓库时因协议转换或配置错误导致的权限问题。通过本文的步骤,你可以快速定位并解决 Git 克隆仓库时的 SSH 相关问题,确保开发流程顺畅!Git 可能被全局配置为将 SSH 转换为 HTTPS。说明 Git 被强制将 SSH 转换为 HTTPS
websocket 网页通过HTTPS加载,使用ws:// 协议开头,怎么设置浏览器
AAAXiaoApple的博客
03-31 406
websocket 网页通过HTTPS加载,使用ws:// 协议开头,怎么设置浏览器
HTTPHTTPS区别
lxy2977262881的博客
03-30 928
超文本传输协议。一种应用层协议,用于在客户端(如浏览器)和服务器之间传输超文本数据(如HTML、图片)。明文传输,无加密。
Https安全
weixin_61034310的博客
04-01 156
域名转换为ip地址的服务dns的查询和响应是udp协议的明文传输黑客可以通过抓DNS数据包的方式看到访问网站的真正ip地址(比如WireShark软件)DNS劫持,DNS污染(中间人根据dns可以误导去一个错误的ip地址,让浏览器无法正常工作)
内网环境将nginx的http改完https访问
Derick的博客
04-02 67
原文参考链接:https://www.cnblogs.com/leilcoding/p/16138778.html。
【抓包工具】win 10 / win 11:Charles 下载、安装、配置(快捷方式、默认端口、登录、https 证书
2501_91093988的博客
04-02 119
一、Charles 和 Fidder 对比二、Charles 官方下载最新版三、Charles 安装四、Charles 配置(1)桌面快捷方式(2)修改 Charles 的默认端口(4)配置 Charles https 证书
springmvc redirect 使用https后跳转到了http://域名:443问题处理
程高伟
03-29 290
最近在处理一个很久之前的项目的时候,由于需要将http升级到https,导致springmvc项目中配置的redirect报错。通过nginx配置了一下解决了,记录一下。最重要的是第二行配置。
nginx的自动跳转https
xujiangyan_的博客
04-01 202
然后用openssl生成证书。编辑nginx的配置文件。
HTTPS通信的加密问题
By2650的博客
04-01 195
如大家所了解的,在未加密的 HTTP 中,客户端会打开一条道 web 服务器端口 80 的 TCP 连接,发送一条请求报文,接收一条响应报文,关闭连接。需要注意的是:SSL 是一个二进制协议,且在通过网络传输任何已加密的 HTTP 数据前,SSL 已经发送了一组握手数据来建立通信连接了。
HTTPS 之fiddler抓包--jmeter请求
weixin_71807218的博客
04-01 637
这些资料,对于【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴上万个测试工程师们走过最艰难的路程,希望也能帮助到你!
K8S学习之基础七十二:Ingress基于Https代理pod
最新发布
云上艺旅的博客
04-02 56
Ingress基于https代理pod
解决 Go 模块与 GitLab 私有仓库权限问题:SSH、HTTPS 和自动认证指南
weixin_42279822的博客
04-02 627
在 Go 开发中,使用私有 GitLab 仓库时,常遇到权限问题或协议冲突(如 Go 默认使用 HTTPS 而非 SSH)。本文将系统性地分析问题原因,并提供从配置到排查的完整解决方案,涵盖。通过本文的步骤,你可以系统性地解决 Go 模块与 GitLab 私有仓库的权限问题。如有其他问题,欢迎在评论区讨论。Go 默认对公开仓库使用 HTTPS,私有仓库需通过。SSH 是私有仓库的首选方案,无需手动输入密码。(Linux/macOS)存储凭据。若需使用 HTTPS,可通过。(Windows)或。
计算机网络——VLAN虚拟局域网的概念与基本原理
2303_79136949的博客
04-02 433
通过交换机连接的结点,他们处于同一个广播域,在这个广播域内,任何一个节点发送一个广播帧,这个广播帧都会被交换机,广播到与之相连的所有节点,经过逐层的广播之后,最后整个校园网,整个局域网内的所有节点,都会收到这个广播帧如果这个局域网,规模比较大,连接的结点数比较多,那就意味着这个局域网内广播帧出现的可能性很高,而一旦广播域变多,那么整个网络的数据传输的负载,以及每个节点接收并且处理广播帧以及给节点带来的负载都会变得很高,甚至在某些情况下可能会出现大规模的广播风暴,就是整个网络的负载,可能会被广播帧占满。
性能比拼: TCP vs UDP(延迟和吞吐量)
techdashen的博客
03-30 1020
(此处用到的json和之前测试过的其他http框架时是一致的,可以比较一下使用http框架的延迟)在本次测试中,你将看到这一点的具体表现。通常情况下,如果一个系统被优化为。如果你对更多基准测试感兴趣,比如。在接下来的视频中,我会提供一个。例如,服务器可以向客户端发送。在这种情况下,我们可以有一个。(例如缺少一个字符),它会。在这个测试中,延迟指的是。,才能开始发送和接收数据。内,UDP 消息可以被。此外,我还在每个客户端上。上运行了基准测试,并为。,那么每个客户端都必须。最近,我正在开发一个。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值