摘要:默認請求注冊服務(wù)器,并不分發(fā)任何證書。使得其配置相對簡單。然而,強烈建議在生產(chǎn)環(huán)境中增強安全性。獲取證書假定你的倉庫的是,并且其記錄指向主機正在運行的。你的鏡像數(shù)據(jù)將保留在文件系統(tǒng)中。應(yīng)該會顯示的界面。然后,運行如下命令驗證是否安裝成功。
Harbor 默認 HTTP 請求注冊服務(wù)器,并不分發(fā)任何證書。使得其配置相對簡單。然而,強烈建議在生產(chǎn)環(huán)境中增強安全性。Harbor 有一個 Nginx 實例為所有服務(wù)提供反向代理,你可以在 Nginx 配置中啟用 HTTPS 。
獲取證書假定你的倉庫的 hostname 是 reg.yourdomain.com,并且其 DNS 記錄指向主機正在運行的 Harbor。首先,你需要獲取一個 CA 證書。證書通常包含一個 .crt 文件和 .key 文件,例如, yourdomain.com.crt 和 yourdomain.com.key。
在測試或開發(fā)環(huán)境中,你可能會選擇使用自簽名證書,而不是購買 CA 證書。下面的命令會生成自簽名證書:
1) 生成自簽名 CA 證書:
openssl req -newkey rsa:4096 -nodes -sha256 -keyout ca.key -x509 -days 365 -out ca.crt
2) 生成證書簽名請求:
如果使用 FQDN (完全限定域名) 如 reg.yourdomain.com 作為你的注冊服務(wù)器連接,那你必須使用 reg.yourdomain.com 作為 CN (Common Name)。另外,如果使用 IP 地址作為你的注冊服務(wù)器連接,CN 可以是你的名字等等:
openssl req -newkey rsa:4096 -nodes -sha256 -keyout yourdomain.com.key -out yourdomain.com.csr
3) 生成注冊服務(wù)器證書:
假定你使用類似 reg.yourdomain.com 這樣的 FQND 作為注冊服務(wù)器連接,運行下面的命令為你的注冊服務(wù)器生成證書:
openssl x509 -req -days 365 -in yourdomain.com.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out yourdomain.com.crt
假定你使用 IP , 如 192.168.1.101 作為注冊服務(wù)器連接,你可以運行以下命令:
echo subjectAltName = IP:192.168.1.101 > extfile.cnf openssl x509 -req -days 365 -in yourdomain.com.csr -CA ca.crt -CAkey ca.key -CAcreateserial -extfile extfile.cnf -out yourdomain.com .crt配置和安裝
在取得 yourdomain.com.crt 和 yourdomain.com.key 文件后,你可以將它們放置在如 /root/cert/ 目錄下:
cp yourdomain.com.crt /root/cert/ cp yourdomain.com.key /root/cert/
接下來,編輯 harbor/make/harbor.cfg, 更新 hostname , protocol, ssl_cert 和 ssl_cert_key 屬性:
#set hostname hostname = reg.yourdomain.com #set ui_url_protocol ui_url_protocol = https ...... #The path of cert and key files for nginx, they are applied only the protocol is set to https ssl_cert = /root/cert/yourdomain.com.crt ssl_cert_key = /root/cert/yourdomain.com.key
為 Harbor 生成配置文件:
# 工作目錄 harbor/make ./prepare
如果 Harbor 已經(jīng)在運行,則停止并刪除實例。你的鏡像數(shù)據(jù)將保留在文件系統(tǒng)中。
# 工作目錄 harbor/make # 在運行 compose 前, 需將 docker-compose.tpl 文件重命名為 docker-compose.yaml mv docker-compose.tpl docker-compose.yaml docker-compose down
最后,重啟 Harbor:
docker-compose up -d
在為 Harbor 配置 HTTPS 完成后,你可以通過以下步驟對它進行驗證:
打開瀏覽器,并輸入地址:https://reg.yourdomain.com。應(yīng)該會顯示 Harbor 的界面。
在裝有 Docker daemon 的機器上,確保 Docker engine 配置文件中沒有配置 "-insecure-registry",并且,你必須將已生成的 ca.crt 文件放入 /etc/docker/certs.d/yourdomain.com(或 / etc/docker/certs.d/your registry host IP) 目錄下,如果這個目錄不存在,則創(chuàng)建它。
如果你將 nginx 的 443 端口映射到其他端口上了,你需要創(chuàng)建目錄的為 /etc/docker/certs.d/yourdomain.com:port(/etc/docker/certs.d/your registry host IP:port)。然后,運行如下命令驗證是否安裝成功。
docker login reg.yourdomain.com
如果你將 nginx 443 端口映射到其他端口上,則需要在登錄時添加端口號,如:
docker login reg.yourdomain.com:port疑難解答
1. 你可能是通過證書發(fā)行商獲取中間證書。在這種情況下,你應(yīng)該合并中間證書與自簽證書,通過如下命令即可實現(xiàn):
cat intermediate-certificate.pem >> yourdomain.com.crt
2. 在一些運行著 docker daemon 的系統(tǒng)中,你可能需要操作系統(tǒng)級別的信任證書。
在 Ubuntu 上, 可以通過以下命令來完成:
cp youdomain.com.crt /usr/local/share/ca-certificates/reg.yourdomain.com.crt update-ca-certificates
在 Red Hat (CentOS etc) 上, 命令如下:
cp yourdomain.com.crt /etc/pki/ca-trust/source/anchors/reg.yourdomain.com.crt update-ca-trust
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://specialneedsforspecialkids.com/yun/26818.html
摘要:實現(xiàn)基礎(chǔ)項目的部分代碼如下依賴常用庫依賴驅(qū)動及插件依賴阿里依賴阿里依賴具體的配置如下配置通用,詳情請查閱官方文檔是否判斷字符串類型即表達式內(nèi)是 實現(xiàn) 基礎(chǔ)項目的pom.xml部分代碼如下 1.8 org.springframework.boot spring-boot-starter-parent ...
摘要:有的網(wǎng)站認為只有那些像金融網(wǎng)站支付平臺企業(yè)網(wǎng)站銀行等等才需要部署證書,別的網(wǎng)站似乎并不重要。網(wǎng)絡(luò)環(huán)境復(fù)雜,信息交錯,部署證書,可以提高讀者隱私的安全性。登錄頁部署證書其他頁面需要不大。眾多網(wǎng)站安全問題也不可能僅靠一張證書就全部解決。HTTPS會使網(wǎng)站訪問速度變慢?部署證書https之后網(wǎng)站速度變慢的問題,一般情況下我們?yōu)g覽的網(wǎng)站部署了證書以后發(fā)現(xiàn)加載速度變慢了,是因為在HTTP上多了一個SS...
摘要:當(dāng)時結(jié)合本站的部署經(jīng)驗,給大家詳細介紹了部署免費。截止年月日,由實時統(tǒng)計報告顯示,在統(tǒng)計的多萬活躍網(wǎng)站中,已經(jīng)有萬約的站點部署了證書服務(wù)。 隨著互聯(lián)網(wǎng)快速發(fā)展,互聯(lián)網(wǎng)信息安全越來越受到大家重視,HTTPS 應(yīng)該是近兩年各大廠商都在盡力普及的技術(shù)之一。國內(nèi)大廠基本上已經(jīng)全面普及了 HTTPS。 本文首發(fā)于我的個人網(wǎng)站:聽說 - https://tasaid.com/,建議在我的個人網(wǎng)站閱...
摘要:服務(wù)器部署最后一篇文章,部署證書,升級為,其實網(wǎng)上相關(guān)教程有很多,但是略麻煩,本教程讓你一切從簡,分鐘搞定,免費一年哦申請證書免費申請的機構(gòu)有很多,我用的是騰訊云的,進入騰訊云官網(wǎng),云產(chǎn)品的證書管理,可免費申請。 nodejs服務(wù)器部署最后一篇文章,部署ssl證書,升級http為https,其實網(wǎng)上相關(guān)教程有很多,但是略麻煩,本教程讓你一切從簡,5分鐘搞定https,免費一年哦 申請s...
閱讀 2222·2023-04-26 01:57
閱讀 3240·2023-04-25 16:30
閱讀 2325·2021-11-17 09:38
閱讀 1068·2021-10-08 10:14
閱讀 1383·2021-09-23 11:21
閱讀 3678·2019-08-29 17:28
閱讀 3450·2019-08-29 15:27
閱讀 944·2019-08-29 13:04