通过HTTPS访问Harbor2.13.1 的配置

1.环境

操作系统版本:Ubuntu 24.04.2 LTS

openssl的版本:3.0.15

Harbor版本:2.13.1

2.说明

默认情况下,Harbor不附带证书。可以在没有安全性的情况下部署Harbor,这样您就可以通过HTTP连接到它。然而,只有在没有连接到外部互联网的测试或开发环境中,使用HTTP才是可接受的。在非测试环境中使用HTTP会使您面临中间人攻击。在生产环境中,始终使用HTTPS。

要配置HTTPS,您必须创建SSL证书。您可以使用由受信任的第三方CA签名的证书,也可以使用自签名证书。下面介绍如何使用OpenSSL创建CA,以及如何使用CA对服务器证书和客户端证书进行签名。

3生成证书颁发机构证书

在生产环境中,您应该从CA获取证书。在测试或开发环境中,可以生成自己的CA。

​​​​​​​3.1生成CA证书私钥

使用 OpenSSL 生成一个 RSA 算法的私钥文件,并将其保存为 ca.key 文件。

openssl genrsa -out ca.key 4096

|----------------|-------------------------------------------|
| 参数 | 含义 |
| openssl genrsa | 使用 OpenSSL 的 genrsa 子命令来生成一个 RSA 私钥 |
| -out ca.key | 将生成的私钥输出到文件 ca.key 中 |
| 4096 | 指定密钥长度为 4096 位。这是目前推荐的安全强度,比默认的 2048 位更安全 |

​​​​​​​3.2查看私钥内容

openssl rsa -in ca.key -text -noout

这将显示模数(modulus)、公钥指数(public exponent)等详细信息。

​​​​​​​3.3生成CA 自签名 证书

调整-subj选项中的值以反映您的组织。如果使用FQDN连接Harbor主机,则必须将其指定为通用名称(CN)属性。

openssl req -x509 -new -nodes -sha512 -days 3650 \

-subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=MyPersonal Root CA" \

-key ca.key \

-out ca.crt

|-------------|------------------------------------------------------------------------|
| 参数 | 含义 |
| openssl req | 表示使用 OpenSSL 的 req 子命令,用于处理 X.509 证书请求(CSR)和生成自签名证书 |
| -x509 | 直接输出一个 自签名证书 (而不是生成 CSR),常用于创建 CA 证书 |
| -new | 生成一个新的证书请求信息(虽然这里生成的是自签名证书,但仍然需要这些信息) |
| -nodes | 不加密私钥 (no DES),表示生成时不使用密码保护私钥文件。如果不加这个参数,OpenSSL 会提示你输入密码来加密私钥 |
| -sha512 | 指定使用 SHA-512 算法进行签名,安全性更高 |
| -days 3650 | 设置证书有效期为 3650 天(即 10 年) |
| -subj "..." | 指定证书的主题信息(Subject DN),包括国家、组织、通用名等字段 |
| -key ca.key | 使用指定的私钥文件 ca.key 来签署这个证书 |
| -out ca.crt | 输出生成的证书文件为 ca.crt |

/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=MyPersonal Root CA

|------------|-------------------------|--------------------|
| 字段 | 含义 | 示例 |
| /C | Country(国家代码) | CN = China |
| /ST | State or Province(省份) | Beijing |
| /L | Locality(城市) | Beijing |
| /O | Organization(组织名称) | example |
| /OU | Organizational Unit(部门) | Personal |
| /CN | Common Name(通用名) | MyPersonal Root CA |

​​​​​​​3.4查看证书内容

openssl x509 -in ca.crt -text -noout

​​​​​​​4生成服务器证书

证书通常包含.crt文件和.key文件,例如192.0.1.208.crt和192.0.1.208.key。

​​​​​​​4.1生成私钥

openssl genrsa -out 192.0.1.208.key 4096

​​​​​​​4.2生成证书签名请求(CSR)

调整-subj选项中的值以反映您的组织。如果使用FQDN连接Harbor主机,则必须将其指定为通用名称(CN)属性,并在密钥和CSR文件名中使用它。

openssl req -sha512 -new \ -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=192.0.1.208" \ -key 192.0.1.208.key \ -out 192.0.1.208.csr

​​​​​​​4.3生成x509 v3扩展文件。

无论您是使用FQDN还是IP地址连接到Harbor主机,都必须创建此文件,以便为Harbor主机生成符合主题可选名称(SAN)和x509 v3扩展要求的证书。替换DNS条目以反映您的域。

cat > v3.ext <<-EOF

authorityKeyIdentifier=keyid,issuer

basicConstraints=CA:FALSE

keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment

extendedKeyUsage = serverAuth

subjectAltName = @alt_names

alt_names

DNS.1=hostname

IP.1 = 192.0.1.208

EOF

​​​​​​​4.4使用v3.ext文件为您的Harbor主机生成证书

将CSR和CRT文件名中的192.0.1.208替换为Harbor主机IP。

openssl x509 -req -sha512 -days 3650 \ -extfile v3.ext \ -CA ca.crt -CAkey ca.key -CAcreateserial \ -in 192.0.1.208.csr \ -out 192.0.1.208.crt

​​​​​​​5.向Harbor和Docker提供证书

生成ca.crt、192.0.1.208.crt和192.0.1.208密钥文件后,您必须将它们提供给Harbor和Docker,并重新配置Harbor以使用它们。

​​​​​​​5.1将服务器证书和密钥复制到Harbor主机上的certificates文件夹中。

cp 192.0.1.208.crt /app/harbor/data/secret/cert/server.crt

cp 192.0.1.208.key /app/harbor/data/secret/cert/server.key

chown -R 10000:10000 /app/harbor/data/secret/cert

注:

具体拷贝到哪个目录下,有docker-compose.yml决定

为什么要把192.0.1.208改成server。是由common/config/nginx/nginx.conf决定

​​​​​​​5.2 192.0.1.208 .crt转换为 192.0.1.208.cert ,供Docker使用。

Docker守护进程将.crt文件解释为CA证书,将.cert文件解释为客户端证书。

openssl x509 -inform PEM -in 192.0.1.208.crt -out 192.0.1.208.cert

​​​​​​​5.3将服务器证书、密钥和CA文件复制到Harbor主机上的Docker证书文件夹中

您必须先创建相应的文件夹。

mkdir -p /etc/docker/certs.d/192.0.1.208:8443

cp 192.0.1.208.cert /etc/docker/certs.d/192.0.1.208/

cp 192.0.1.208.key /etc/docker/certs.d/192.0.1.208/

cp ca.crt /etc/docker/certs.d/192.0.1.208/

​​​​​​​5.4重启docker

systemctl restart docker

​​​​​​​6.访问harbor

相关推荐
阳洞洞4 小时前
https和http有什么区别
网络协议·http·https
孙克旭_6 小时前
day045-nginx跳转功能补充与https
linux·运维·nginx·https
you秀8 小时前
HTTPS通信流程:SSL/TLS握手全解析
网络协议·https·ssl
2501_9159214310 小时前
iOS IPA 混淆实测分析:从逆向视角验证加固效果与防护流程
websocket·网络协议·tcp/ip·http·网络安全·https·udp
2501_9159184110 小时前
打造可观测的 iOS CICD 流程:调试、追踪与质量保障全记录
websocket·网络协议·tcp/ip·http·网络安全·https·udp
小菜鸡952714 小时前
http、SSL、TLS、https、证书
http·https·证书·ssl·tls
泡泡以安14 小时前
安卓高版本HTTPS抓包:终极解决方案
爬虫·https·安卓逆向·安卓抓包
RW~14 小时前
Minio安装配置,桶权限设置,nginx代理 https minio
运维·nginx·https·minio
2501_9159090614 小时前
调试 WebView 旧资源缓存问题:一次从偶发到复现的实战经历
websocket·网络协议·tcp/ip·http·网络安全·https·udp