1.环境
操作系统版本:Ubuntu 24.04.2 LTS
openssl的版本:3.0.15
Harbor版本:2.13.1
2.说明
默认情况下,Harbor不附带证书。可以在没有安全性的情况下部署Harbor,这样您就可以通过HTTP连接到它。然而,只有在没有连接到外部互联网的测试或开发环境中,使用HTTP才是可接受的。在非测试环境中使用HTTP会使您面临中间人攻击。在生产环境中,始终使用HTTPS。
要配置HTTPS,您必须创建SSL证书。您可以使用由受信任的第三方CA签名的证书,也可以使用自签名证书。下面介绍如何使用OpenSSL创建CA,以及如何使用CA对服务器证书和客户端证书进行签名。
3生成证书颁发机构证书
在生产环境中,您应该从CA获取证书。在测试或开发环境中,可以生成自己的CA。
3.1生成CA证书私钥
使用 OpenSSL 生成一个 RSA 算法的私钥文件,并将其保存为 ca.key 文件。
openssl genrsa -out ca.key 4096
|----------------|-------------------------------------------|
| 参数 | 含义 |
| openssl genrsa | 使用 OpenSSL 的 genrsa 子命令来生成一个 RSA 私钥 |
| -out ca.key | 将生成的私钥输出到文件 ca.key 中 |
| 4096 | 指定密钥长度为 4096 位。这是目前推荐的安全强度,比默认的 2048 位更安全 |
3.2查看私钥内容
openssl rsa -in ca.key -text -noout
这将显示模数(modulus)、公钥指数(public exponent)等详细信息。
3.3生成CA 自签名 证书
调整-subj选项中的值以反映您的组织。如果使用FQDN连接Harbor主机,则必须将其指定为通用名称(CN)属性。
openssl req -x509 -new -nodes -sha512 -days 3650 \
-subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=MyPersonal Root CA" \
-key ca.key \
-out ca.crt
|-------------|------------------------------------------------------------------------|
| 参数 | 含义 |
| openssl req | 表示使用 OpenSSL 的 req 子命令,用于处理 X.509 证书请求(CSR)和生成自签名证书 |
| -x509 | 直接输出一个 自签名证书 (而不是生成 CSR),常用于创建 CA 证书 |
| -new | 生成一个新的证书请求信息(虽然这里生成的是自签名证书,但仍然需要这些信息) |
| -nodes | 不加密私钥 (no DES),表示生成时不使用密码保护私钥文件。如果不加这个参数,OpenSSL 会提示你输入密码来加密私钥 |
| -sha512 | 指定使用 SHA-512 算法进行签名,安全性更高 |
| -days 3650 | 设置证书有效期为 3650 天(即 10 年) |
| -subj "..." | 指定证书的主题信息(Subject DN),包括国家、组织、通用名等字段 |
| -key ca.key | 使用指定的私钥文件 ca.key 来签署这个证书 |
| -out ca.crt | 输出生成的证书文件为 ca.crt |
/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=MyPersonal Root CA
|------------|-------------------------|--------------------|
| 字段 | 含义 | 示例 |
| /C | Country(国家代码) | CN = China |
| /ST | State or Province(省份) | Beijing |
| /L | Locality(城市) | Beijing |
| /O | Organization(组织名称) | example |
| /OU | Organizational Unit(部门) | Personal |
| /CN | Common Name(通用名) | MyPersonal Root CA |
3.4查看证书内容
openssl x509 -in ca.crt -text -noout
4生成服务器证书
证书通常包含.crt文件和.key文件,例如192.0.1.208.crt和192.0.1.208.key。
4.1生成私钥
openssl genrsa -out 192.0.1.208.key 4096
4.2生成证书签名请求(CSR)
调整-subj选项中的值以反映您的组织。如果使用FQDN连接Harbor主机,则必须将其指定为通用名称(CN)属性,并在密钥和CSR文件名中使用它。
openssl req -sha512 -new \ -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=192.0.1.208" \ -key 192.0.1.208.key \ -out 192.0.1.208.csr
4.3生成x509 v3扩展文件。
无论您是使用FQDN还是IP地址连接到Harbor主机,都必须创建此文件,以便为Harbor主机生成符合主题可选名称(SAN)和x509 v3扩展要求的证书。替换DNS条目以反映您的域。
cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
alt_names
DNS.1=hostname
IP.1 = 192.0.1.208
EOF
4.4使用v3.ext文件为您的Harbor主机生成证书
将CSR和CRT文件名中的192.0.1.208替换为Harbor主机IP。
openssl x509 -req -sha512 -days 3650 \ -extfile v3.ext \ -CA ca.crt -CAkey ca.key -CAcreateserial \ -in 192.0.1.208.csr \ -out 192.0.1.208.crt
5.向Harbor和Docker提供证书
生成ca.crt、192.0.1.208.crt和192.0.1.208密钥文件后,您必须将它们提供给Harbor和Docker,并重新配置Harbor以使用它们。
5.1将服务器证书和密钥复制到Harbor主机上的certificates文件夹中。
cp 192.0.1.208.crt /app/harbor/data/secret/cert/server.crt
cp 192.0.1.208.key /app/harbor/data/secret/cert/server.key
chown -R 10000:10000 /app/harbor/data/secret/cert
注:
具体拷贝到哪个目录下,有docker-compose.yml决定
为什么要把192.0.1.208改成server。是由common/config/nginx/nginx.conf决定
5.2将 192.0.1.208 .crt转换为 192.0.1.208.cert ,供Docker使用。
Docker守护进程将.crt文件解释为CA证书,将.cert文件解释为客户端证书。
openssl x509 -inform PEM -in 192.0.1.208.crt -out 192.0.1.208.cert
5.3将服务器证书、密钥和CA文件复制到Harbor主机上的Docker证书文件夹中
您必须先创建相应的文件夹。
mkdir -p /etc/docker/certs.d/192.0.1.208:8443
cp 192.0.1.208.cert /etc/docker/certs.d/192.0.1.208/
cp 192.0.1.208.key /etc/docker/certs.d/192.0.1.208/
cp ca.crt /etc/docker/certs.d/192.0.1.208/
5.4重启docker
systemctl restart docker
6.访问harbor
