配置 harbor 及 docker 等使用 https

博主： tl.s
发布时间：2024 年 12 月 30 日
69 次浏览
暂无评论
1764字数
分类：技术笔记

默认情况下，Harbor不提供证书。可以在没有安全性的情况下部署Harbor，这样您就可以通过HTTP连接到它。但是，只有在没有连接到外部internet的空间隙测试或开发环境中才可以使用HTTP。在没有空间隙的环境中使用HTTP会暴露给中间人攻击。在生产环境中，始终使用HTTPS。如果启用带公证人的内容信任对所有images进行正确签名，则必须使用HTTPS。

要配置HTTPS，必须创建SSL证书。您可以使用由受信任的第三方CA签名的证书，也可以使用自签名证书。本节介绍如何使用OpenSSL创建CA，以及如何使用CA签署服务器证书和客户端证书。您可以使用其他CA提供程序，例如:Let’s Encrypt。

下面的过程假设您的Harbor注册表的主机名是 yourdomain.com，并且它的DNS记录指向运行Harbor的主机。

生成证书颁发机构的证书

在生产环境中，应该从CA获取证书。在测试或开发环境中，可以生成自己的CA。若要生成CA证书，请运行以下命令。

生成CA证书私钥。

openssl genrsa -out ca.key 4096

生成CA证书。

调整 -subj 选项中的值以反映您的组织。如果使用 FQDN 连接Harbor主机，则必须将其指定为 common name（CN）属性。

公用名(Common Name)一般来讲就是填写你将要申请SSL证书的域名 (domain)或子域名(sub domain)。
  
例1：打算为“chinassl.net”申请SSL证 书，那这个公用名(Common Name)就要填写“chinassl.net”，而不能填写 “www.chinassl.net”，因为在申请SSL证书时发证机构认为“www.yourdomain.com”和 “yourdomain.com”是不同的两个域名；
  
例2：如将要为bill.chinassl.net申请SSL证书，那么这里公用名(Common Name)就 要填写“bill.chinassl.net”而不能填写“chinassl.net”或“www.chinassl.net”

openssl req -x509 -new -nodes -sha512 -days 3650 \
 -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=yourdomain.com" \
 -key ca.key \
 -out ca.crt

生成服务器证书

证书通常包含.crt文件和.key文件，例如yourdomain.com.crt和yourdomain.com.key。

1、生成私钥。

openssl genrsa -out yourdomain.com.key 4096

2、生成证书签名请求（CSR）。

调整-subj选项中的值以反映您的组织。如果使用FQDN连接Harbor主机，则必须将其指定为common name（CN）属性，并在key和CSR文件名中使用它。

openssl req -sha512 -new \
    -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=yourdomain.com" \
    -key yourdomain.com.key \
    -out yourdomain.com.csr

3、生成 x509 v3 扩展文件。

无论您是使用 FQDN 还是使用IP地址连接到您的 Harbor 主机，都必须创建此文件，以便您可以为 Harbor 主机生成符合使用者替代名称（SAN）和 x509 v3 扩展要求的证书。替换DNS条目以反映您的域。

cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
 
[alt_names]
DNS.1=yourdomain.com
DNS.2=yourdomain
DNS.3=hostname
IP.1 = 192.168.25.8
EOF

4、使用 v3.ext 文件为您的港口主机生成证书。

将 CRS 和 CRT 文件名中的 yourdomain.com 替换为 Harbor 主机名。

openssl x509 -req -sha512 -days 3650 \
    -extfile v3.ext \
    -CA ca.crt -CAkey ca.key -CAcreateserial \
    -in yourdomain.com.csr \
    -out yourdomain.com.crt

向 Harbor 和 Docker 提供证书

生成 ca.crt 、 yourdomain.com.crt 和 yourdomain.com.key 文件后，必须将它们提供给Harbor和Docker，并重新配置Harbor以使用它们。

1、将服务器证书和密钥复制到Harbor主机上的 certcificates 文件夹中。

cp yourdomain.com.crt /data/cert/
cp yourdomain.com.key /data/cert/

2、将 yourdomain.com.crt 转换为 yourdomain.com.cert ，供Docker使用。

Docker守护进程将 .crt 文件解释为 CA 证书，.cert文件解释为客户端证书。

openssl x509 -inform PEM -in yourdomain.com.crt -out yourdomain.com.cert

3、将服务器证书、密钥和CA文件复制到港口主机上的Docker certificates文件夹中。必须先创建适当的文件夹。

cp yourdomain.com.cert /etc/docker/certs.d/yourdomain.com/
cp yourdomain.com.key /etc/docker/certs.d/yourdomain.com/
cp ca.crt /etc/docker/certs.d/yourdomain.com/

如果将默认nginx端口443映射到其他端口，请创建文件夹 /etc/docker/certs.d/yourdomain.com:port或 /etc/docker/certs.d/harbor_IP:port。

4、重新启动Docker引擎。

systemctl restart docker

您可能还需要在操作系统级别信任证书。有关详细信息，请参阅harbor安装疑难解答。

下面的示例演示了使用自定义证书的配置。

/etc/docker/certs.d/
    └── yourdomain.com:port
       ├── yourdomain.com.cert  <-- Server certificate signed by CA
       ├── yourdomain.com.key   <-- Server key signed by CA
       └── ca.crt               <-- Certificate authority that signed the registry certificate

部署或重新配置harbor

如果尚未部署Harbor，请参阅配置Harbor YML文件，以获取有关如何通过在Harbor.YML中指定主机名和https属性来配置Harbor以使用证书的信息。

如果您已经使用HTTP部署了Harbor并希望将其重新配置为使用HTTPS，请执行以下步骤。

1、运行prepare脚本以启用HTTPS。

Harbor使用nginx实例作为所有服务的反向代理。使用prepare脚本将nginx配置为使用HTTPS。prepare 位于Harbor安装包中，与 install.sh 脚本处于同一级别。

./prepare

2、如果Harbor正在运行，请停止并删除现有实例。

images数据保留在文件系统中，因此不会丢失任何数据。

docker-compose down -v

3、Restart Harbor:

docker-compose up -d

验证HTTPS连接

在为Harbor设置HTTPS之后，您可以通过执行以下步骤来验证HTTPS连接。

1、打开浏览器并输入 https://yourdomain.com。它应该显示 harbor 界面。

某些浏览器可能会显示一条警告，指出证书颁发机构（CA）未知。使用非来自可信第三方 CA 的自签名 CA 时会发生这种情况。您可以将 CA 导入浏览器以删除警告。

2、在运行Docker守护进程的计算机上，检查文件，确保没有为 https://yourdomain.com 设置 -unsecure-registry 选项。

3、从Docker客户端登录到Harbor。

docker login yourdomain.com

如果您已经将nginx 443端口映射到另一个端口，请在login命令中添加该端口。

docker login yourdomain.com:port

其他工具接入

Docker

cp yourdomain.com.cert /etc/docker/certs.d/yourdomain.com/
cp yourdomain.com.key /etc/docker/certs.d/yourdomain.com/
cp ca.crt /etc/docker/certs.d/yourdomain.com/

cp x.x.x.x:xxx.cert /etc/docker/certs.d/x.x.x.x:xxx/
cp x.x.x.x:xxx.key /etc/docker/certs.d/x.x.x.x:xxx/
cp ca.crt /etc/docker/certs.d/x.x.x.x:xxx/

Containerd

cp yourdomain.com.cert /etc/containerd/certs.d/yourdomain.com/
cp yourdomain.com.key /etc/containerd/certs.d/yourdomain.com/
cp ca.crt /etc/containerd/certs.d/yourdomain.com/

cp x.x.x.x:xxx.cert /etc/containerd/certs.d/x.x.x.x:xxx/
cp x.x.x.x:xxx.key /etc/containerd/certs.d/x.x.x.x:xxx/
cp ca.crt /etc/containerd/certs.d/x.x.x.x:xxx/

# example
mkdir -p /etc/containerd/certs.d/192.168.25.8:10443
cd /etc/containerd/certs.d/192.168.25.8:10443
wget http://192.168.25.9/raw/general/wz_harbor_ssl/192.168.25.8%3A10443.cert
wget http://192.168.25.9/raw/general/wz_harbor_ssl/192.168.25.8%3A10443.key
wget http://192.168.25.9/raw/general/wz_harbor_ssl/ca.crt
systemctl restart containerd.servic

`skopeo`

直接支持 /etc/docker/certs.d/ 目录下的证书。

helm

References

最后修改：2024 年 12 月 30 日

如果觉得我的文章对你有用，请随意赞赏

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

评论 *

私密评论

名称 *

🎲

邮箱

地址

Dale
之前在B站上看 unixchad 也讲过 ed 编辑器 htt...
LibreChat
LibreChat
ccino
转载到我的博客(☆ω☆)
ccino
哇~这么快补充啦？请问，我可以转载不，会注明出处。
ccino
尽然没有OpenWebUI？

配置 harbor 及 docker 等使用 https

tl.s • 2024 年 12 月 30 日

<p>默认情况下，Harbor不提供证书。可以在没有安全性的情况下部署Harbor，这样您就可以通过HTTP连接到它。但是，只有在没有连接到外部internet的空间隙测试或开发环境中才可以使用HTTP。在没有空间隙的环境中使用HTTP会暴露给中间人攻击。在生产环境中，始终使用HTTPS。如果启用带公证人的内容信任对所有images进行正确签名，则必须使用HTTPS。</p><p>要配置HTTPS，必须创建SSL证书。您可以使用由受信任的第三方CA签名的证书，也可以使用自签名证书。本节介绍如何使用OpenSSL创建CA，以及如何使用CA签署服务器证书和客户端证书。您可以使用其他CA提供程序，例如:Let’s Encrypt。</p><p>下面的过程假设您的Harbor注册表的主机名是 <code>yourdomain.com</code>，并且它的DNS记录指向运行Harbor的主机。</p><h1>生成证书颁发机构的证书</h1><p>在生产环境中，应该从CA获取证书。在测试或开发环境中，可以生成自己的CA。若要生成CA证书，请运行以下命令。</p><p>生成CA证书私钥。</p><pre><code class="lang-bash">openssl genrsa -out ca.key 4096</code></pre><h1>生成CA证书。 </h1><p>调整 <code>-subj </code>选项中的值以反映您的组织。如果使用 <code>FQDN</code> 连接Harbor主机，则必须将其指定为 <code>common name（CN）</code>属性。</p><pre><code>公用名(Common Name)一般来讲就是填写你将要申请SSL证书的域名 (domain)或子域名(sub domain)。
  
例1：打算为“chinassl.net”申请SSL证 书，那这个公用名(Common Name)就要填写“chinassl.net”，而不能填写 “www.chinassl.net”，因为在申请SSL证书时发证机构认为“www.yourdomain.com”和 “yourdomain.com”是不同的两个域名；
  
例2：如将要为bill.chinassl.net申请SSL证书，那么这里公用名(Common Name)就 要填写“bill.chinassl.net”而不能填写“chinassl.net”或“www.chinassl.net”</code></pre><pre><code class="lang-bash">openssl req -x509 -new -nodes -sha512 -days 3650 \
 -subj &quot;/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=yourdomain.com&quot; \
 -key ca.key \
 -out ca.crt</code></pre><h1>生成服务器证书</h1><p>证书通常包含.crt文件和.key文件，例如yourdomain.com.crt和yourdomain.com.key。</p><p>1、生成私钥。</p><pre><code class="lang-bash">openssl genrsa -out yourdomain.com.key 4096</code></pre><p> 2、生成证书签名请求（CSR）。</p><p>调整-subj选项中的值以反映您的组织。如果使用FQDN连接Harbor主机，则必须将其指定为common name（CN）属性，并在key和CSR文件名中使用它。</p><pre><code class="lang-bash">openssl req -sha512 -new \
    -subj &quot;/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=yourdomain.com&quot; \
    -key yourdomain.com.key \
    -out yourdomain.com.csr</code></pre><p> 3、生成 <code>x509 v3</code> 扩展文件。</p><p>无论您是使用 <code>FQDN</code> 还是使用IP地址连接到您的 <code>Harbor</code> 主机，都必须创建此文件，以便您可以为 <code>Harbor</code> 主机生成符合使用者替代名称（SAN）和 <code>x509 v3</code> 扩展要求的证书。替换DNS条目以反映您的域。</p><pre><code class="lang-bash">cat &gt; v3.ext &lt;&lt;-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
 
[alt_names]
DNS.1=yourdomain.com
DNS.2=yourdomain
DNS.3=hostname
IP.1 = 192.168.25.8
EOF</code></pre><p> 4、使用 <code>v3.ext</code> 文件为您的港口主机生成证书。</p><p>将 <code>CRS</code> 和 <code>CRT</code> 文件名中的 <code>yourdomain.com</code> 替换为 <code>Harbor</code> 主机名。</p><pre><code class="lang-bash">openssl x509 -req -sha512 -days 3650 \
    -extfile v3.ext \
    -CA ca.crt -CAkey ca.key -CAcreateserial \
    -in yourdomain.com.csr \
    -out yourdomain.com.crt</code></pre><h1>向 Harbor 和 Docker 提供证书</h1><p>生成 <code>ca.crt</code> 、 <code>yourdomain.com.crt</code> 和 <code>yourdomain.com.key</code> 文件后，必须将它们提供给Harbor和Docker，并重新配置Harbor以使用它们。</p><p>1、将服务器证书和密钥复制到Harbor主机上的 <code>certcificates</code> 文件夹中。</p><pre><code class="lang-bash">cp yourdomain.com.crt /data/cert/
cp yourdomain.com.key /data/cert/</code></pre><p> 2、将 <code>yourdomain.com.crt</code> 转换为 <code>yourdomain.com.cert</code> ，供Docker使用。</p><p>Docker守护进程将 <code>.crt</code> 文件解释为 <code>CA</code> 证书，<code>.cert</code>文件解释为客户端证书。</p><pre><code class="lang-bash">openssl x509 -inform PEM -in yourdomain.com.crt -out yourdomain.com.cert</code></pre><p> 3、将服务器证书、密钥和CA文件复制到港口主机上的Docker certificates文件夹中。必须先创建适当的文件夹。</p><pre><code class="lang-bash">cp yourdomain.com.cert /etc/docker/certs.d/yourdomain.com/
cp yourdomain.com.key /etc/docker/certs.d/yourdomain.com/
cp ca.crt /etc/docker/certs.d/yourdomain.com/</code></pre><p> 如果将默认nginx端口443映射到其他端口，请创建文件夹 <code>/etc/docker/certs.d/yourdomain.com:port</code>或 <code>/etc/docker/certs.d/harbor_IP:port</code>。</p><p>4、重新启动Docker引擎。</p><pre><code class="lang-bash">systemctl restart docker</code></pre><p>您可能还需要在操作系统级别信任证书。有关详细信息，请参阅<a href="https://frytea.com/go/aHR0cHM6Ly9nb2hhcmJvci5pby9kb2NzLzEuMTAvaW5zdGFsbC1jb25maWcvdHJvdWJsZXNob290LWluc3RhbGxhdGlvbi8jaHR0cHM" target="_blank" >harbor安装疑难解答</a>。</p><p>下面的示例演示了使用自定义证书的配置。</p><pre><code class="lang-bash">/etc/docker/certs.d/
    └── yourdomain.com:port
       ├── yourdomain.com.cert  &lt;-- Server certificate signed by CA
       ├── yourdomain.com.key   &lt;-- Server key signed by CA
       └── ca.crt               &lt;-- Certificate authority that signed the registry certificate</code></pre><h1>部署或重新配置harbor</h1><p>如果尚未部署Harbor，请参阅<a href="https://frytea.com/go/aHR0cHM6Ly9nb2hhcmJvci5pby9kb2NzLzEuMTAvaW5zdGFsbC1jb25maWcvY29uZmlndXJlLXltbC1maWxlLw" target="_blank" >配置Harbor YML文件</a>，以获取有关如何通过在Harbor.YML中指定主机名和https属性来配置Harbor以使用证书的信息。</p><p>如果您已经使用HTTP部署了Harbor并希望将其重新配置为使用HTTPS，请执行以下步骤。</p><p>1、运行prepare脚本以启用HTTPS。</p><p>Harbor使用nginx实例作为所有服务的反向代理。使用prepare脚本将nginx配置为使用HTTPS。<code>prepare</code> 位于Harbor安装包中，与 <code>install.sh</code> 脚本处于同一级别。</p><pre><code class="lang-bash">./prepare</code></pre><p>2、如果Harbor正在运行，请停止并删除现有实例。</p><p>images数据保留在文件系统中，因此不会丢失任何数据。</p><pre><code class="lang-bash">docker-compose down -v</code></pre><p>3、Restart Harbor:</p><pre><code class="lang-bash">docker-compose up -d</code></pre><h1>验证HTTPS连接</h1><p>在为Harbor设置HTTPS之后，您可以通过执行以下步骤来验证HTTPS连接。</p><p>1、打开浏览器并输入 <code>https://yourdomain.com</code>。它应该显示 harbor 界面。</p><p>某些浏览器可能会显示一条警告，指出证书颁发机构（<code>CA</code>）未知。使用非来自可信第三方 <code>CA</code> 的自签名 <code>CA</code> 时会发生这种情况。您可以将 <code>CA</code> 导入浏览器以删除警告。</p><p>2、在运行Docker守护进程的计算机上，检查 <code> </code>文件，确保没有为 <code>https://yourdomain.com</code> 设置 <code>-unsecure-registry</code> 选项。</p><p>3、从Docker客户端登录到Harbor。</p><pre><code class="lang-bash">docker login yourdomain.com</code></pre><p> 如果您已经将nginx 443端口映射到另一个端口，请在login命令中添加该端口。</p><pre><code class="lang-bash">docker login yourdomain.com:port</code></pre><h1>其他工具接入</h1><h2>Docker</h2><pre><code>cp yourdomain.com.cert /etc/docker/certs.d/yourdomain.com/
cp yourdomain.com.key /etc/docker/certs.d/yourdomain.com/
cp ca.crt /etc/docker/certs.d/yourdomain.com/

cp x.x.x.x:xxx.cert /etc/docker/certs.d/x.x.x.x:xxx/
cp x.x.x.x:xxx.key /etc/docker/certs.d/x.x.x.x:xxx/
cp ca.crt /etc/docker/certs.d/x.x.x.x:xxx/</code></pre><h2>Containerd</h2><pre><code>cp yourdomain.com.cert /etc/containerd/certs.d/yourdomain.com/
cp yourdomain.com.key /etc/containerd/certs.d/yourdomain.com/
cp ca.crt /etc/containerd/certs.d/yourdomain.com/

cp x.x.x.x:xxx.cert /etc/containerd/certs.d/x.x.x.x:xxx/
cp x.x.x.x:xxx.key /etc/containerd/certs.d/x.x.x.x:xxx/
cp ca.crt /etc/containerd/certs.d/x.x.x.x:xxx/

# example
mkdir -p /etc/containerd/certs.d/192.168.25.8:10443
cd /etc/containerd/certs.d/192.168.25.8:10443
wget http://192.168.25.9/raw/general/wz_harbor_ssl/192.168.25.8%3A10443.cert
wget http://192.168.25.9/raw/general/wz_harbor_ssl/192.168.25.8%3A10443.key
wget http://192.168.25.9/raw/general/wz_harbor_ssl/ca.crt
systemctl restart containerd.servic</code></pre><h2><code>skopeo</code></h2><p>直接支持 <code>/etc/docker/certs.d/</code> 目录下的证书。</p><h2>helm</h2><h1>References</h1><ul><li><a href="https://frytea.com/go/aHR0cHM6Ly9naXRodWIuY29tL2NvbnRhaW5lcnMvc2tvcGVvL2lzc3Vlcy8yNTA" target="_blank" >Support cert-based client-server authentication #250</a></li><li><a href="https://frytea.com/go/aHR0cHM6Ly93d3cuY25ibG9ncy5jb20vbGludXh3cy9wLzEyODEwODg3Lmh0bWw" target="_blank" >配置对Harbor的HTTPS访问</a></li></ul>

配置 harbor 及 docker 等使用 https

生成证书颁发机构的证书

生成CA证书。

生成服务器证书

向 Harbor 和 Docker 提供证书

部署或重新配置harbor

验证HTTPS连接

其他工具接入

Docker

Containerd

`skopeo`

helm

References

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

2024 年黑五云服务活动汇总

Windows Update服务启动弹出“拒绝访问的解决方案

各大云服务主机商测试 IP 整理

LEDE(OpenWrt)安装openclash ｜旁路由技巧｜配置网络流量全部通过旁路由

三步激活 StarUML V4.0.1 (WIN10为例) | 仅供学习

Centos系统安装docker

HA 可用性表格

AIGC Weekly

git 整体提交记录(rabase)后合并(merge)

Archlinux 基于 waydroid运行 android

配置 harbor 及 docker 等使用 https

生成证书颁发机构的证书

生成CA证书。

生成服务器证书

向 Harbor 和 Docker 提供证书

部署或重新配置harbor

验证HTTPS连接

其他工具接入

Docker

Containerd

skopeo

helm

References

发表评论 取消回复 使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

配置 harbor 及 docker 等使用 https

`skopeo`

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款