https://goharbor.io/docs/1.10/install-config/configure-https/
默认情况下,Harbor不提供证书。可以在没有安全性的情况下部署Harbor,这样您就可以通过HTTP连接到它。但是,只有在没有连接到外部internet的空间隙测试或开发环境中才可以使用HTTP。在没有空间隙的环境中使用HTTP会暴露给中间人攻击。在生产环境中,始终使用HTTPS。如果启用带公证人的内容信任对所有images进行正确签名,则必须使用HTTPS。
要配置HTTPS,必须创建SSL证书。您可以使用由受信任的第三方CA签名的证书,也可以使用自签名证书。本节介绍如何使用OpenSSL创建CA,以及如何使用CA签署服务器证书和客户端证书。您可以使用其他CA提供程序,例如:Let’s Encrypt。
下面的过程假设您的Harbor注册表的主机名是yourdomain.com,并且它的DNS记录指向运行Harbor的主机。
1、生成证书颁发机构的证书
在生产环境中,应该从CA获取证书。在测试或开发环境中,可以生成自己的CA。若要生成CA证书,请运行以下命令。
1、生成CA证书私钥。
openssl genrsa -out ca.key 4096
2、生成CA证书。
调整-subj选项中的值以反映您的组织。如果使用FQDN连接Harbor主机,则必须将其指定为common name(CN)属性。
公用名(Common Name)一般来讲就是填写你将要申请SSL证书的域名 (domain)或子域名(sub domain)。 例1:打算为“chinassl.net”申请SSL证 书,那这个公用名(Common Name)就要填写“chinassl.net”,而不能填写 “www.chinassl.net”,因为在申请SSL证书时发证机构认为“www.yourdomain.com”和 “yourdomain.com”是不同的两个域名; 例2:如将要为bill.chinassl.net申请SSL证书,那么这里公用名(Common Name)就 要填写“bill.chinassl.net”而不能填写“chinassl.net”或“www.chinassl.net”
openssl req -x509 -new -nodes -sha512 -days 3650 -subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=yourdomain.com" -key ca.key -out ca.crt
3、生成服务器证书
证书通常包含.crt文件和.key文件,例如yourdomain.com.crt和yourdomain.com.key。
1、生成私钥。
openssl genrsa -out yourdomain.com.key 4096
2、生成证书签名请求(CSR)。
调整-subj选项中的值以反映您的组织。如果使用FQDN连接Harbor主机,则必须将其指定为common name(CN)属性,并在key和CSR文件名中使用它。
openssl req -sha512 -new
-subj "/C=CN/ST=Beijing/L=Beijing/O=example/OU=Personal/CN=yourdomain.com"
-key yourdomain.com.key
-out yourdomain.com.csr
3、生成x509 v3扩展文件。
无论您是使用FQDN还是使用IP地址连接到您的Harbor主机,都必须创建此文件,以便您可以为Harbor主机生成符合使用者替代名称(SAN)和x509 v3扩展要求的证书。替换DNS条目以反映您的域。
cat > v3.ext <<-EOF authorityKeyIdentifier=keyid,issuer basicConstraints=CA:FALSE keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment extendedKeyUsage = serverAuth subjectAltName = @alt_names [alt_names] DNS.1=yourdomain.com DNS.2=yourdomain DNS.3=hostname EOF
4、
使用v3.ext文件为您的港口主机生成证书。
将CRS和CRT文件名中的yourdomain.com替换为Harbor主机名。
openssl x509 -req -sha512 -days 3650
-extfile v3.ext
-CA ca.crt -CAkey ca.key -CAcreateserial
-in yourdomain.com.csr
-out yourdomain.com.crt
4、向Harbor和Docker提供证书
生成ca.crt、yourdomain.com.crt和yourdomain.com.key文件后,必须将它们提供给Harbor和Docker,并重新配置Harbor以使用它们。
1、将服务器证书和密钥复制到Harbor主机上的certcificates文件夹中。
cp yourdomain.com.crt /data/cert/ cp yourdomain.com.key /data/cert/
2、将yourdomain.com.crt转换为yourdomain.com.cert,供Docker使用。
Docker守护进程将.crt文件解释为CA证书,.cert文件解释为客户端证书。
openssl x509 -inform PEM -in yourdomain.com.crt -out yourdomain.com.cert
3、将服务器证书、密钥和CA文件复制到港口主机上的Docker certificates文件夹中。必须先创建适当的文件夹。
cp yourdomain.com.cert /etc/docker/certs.d/yourdomain.com/ cp yourdomain.com.key /etc/docker/certs.d/yourdomain.com/ cp ca.crt /etc/docker/certs.d/yourdomain.com/
如果将默认nginx端口443映射到其他端口,请创建文件夹/etc/docker/certs.d/yourdomain.com:port或/etc/docker/certs.d/harbor_IP:port。
4、重新启动Docker引擎。
systemctl restart docker
您可能还需要在操作系统级别信任证书。有关详细信息,请参阅harbor安装疑难解答。
下面的示例演示了使用自定义证书的配置。
/etc/docker/certs.d/
└── yourdomain.com:port
├── yourdomain.com.cert <-- Server certificate signed by CA
├── yourdomain.com.key <-- Server key signed by CA
└── ca.crt <-- Certificate authority that signed the registry certificate
5、部署或重新配置harbor
如果尚未部署Harbor,请参阅配置Harbor YML文件,以获取有关如何通过在Harbor.YML中指定主机名和https属性来配置Harbor以使用证书的信息。
如果您已经使用HTTP部署了Harbor并希望将其重新配置为使用HTTPS,请执行以下步骤。
1、运行prepare脚本以启用HTTPS。
Harbor使用nginx实例作为所有服务的反向代理。使用prepare脚本将nginx配置为使用HTTPS。prepare位于Harbor安装包中,与install.sh脚本处于同一级别。
./prepare
2、如果Harbor正在运行,请停止并删除现有实例。
images数据保留在文件系统中,因此不会丢失任何数据。
docker-compose down -v
3、Restart Harbor:
docker-compose up -d
6、验证HTTPS连接
在为Harbor设置HTTPS之后,您可以通过执行以下步骤来验证HTTPS连接。
1、打开浏览器并输入https://yourdomain.com。它应该显示港口界面。
某些浏览器可能会显示一条警告,指出证书颁发机构(CA)未知。使用非来自可信第三方CA的自签名CA时会发生这种情况。您可以将CA导入浏览器以删除警告。
2、在运行Docker守护进程的计算机上,检查/etc/Docker/daemon.json文件,确保没有为https://yourdomain.com设置-unsecure-registry选项。
3、从Docker客户端登录到Harbor。
docker login yourdomain.com
如果您已经将nginx 443端口映射到另一个端口,请在login命令中添加该端口。
docker login yourdomain.com:port
下一步怎么办
如果验证成功,请参阅“港口管理”以获取有关使用“港口”的信息。
如果安装失败,请参阅海港安装疑难解答。